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Glokalizáció 


Elmúlt számunkban megígértem, hogy beszámolok 
a barcelonai tech.edről. Sajnos ezt igen röviden 
meg tudom tenni: vegyék elő tavaly augusztusi 
számunkat, mert abban minden benne van. Barce- 
lona sem sokat változott, az [1] címen tavaly óta 
megtalálható élménybeszámoló tehát teljesen ak- 
tuális. Volt egy csomó híres előadó, de szinte 
mindegyikük a tavalyi PPT-je fölött unatkozott. 
Hogy ennek mi lehetett az oka, nem tudom, de 
annyiban szándékosnak tekinthető, hogy a konfe- 
rencia jelmondata is ismétlésre utalt: dive deeper. 
Hirtelen fordításban: búvárkodj a mélyben. Helyes 
fordításban: ismétlés a tudás anyja. 

Így az előadásokról nem, de benyomásaimról, és 
egy heti önálló gondolkodásomról beszámolok. 
Ez a rendhagyó köszöntő a 43-44. oldalon foly- 
tatódik. Ha azt hiszik, a hőség ment az agyamra, 
közlöm, nem a hőség. Légkondicionált helyiség- 
ben írtam e sorokat. 

Nagy örömömre szolgált, hogy Don Box, a SOAP 
atyja hasonló okfejtést adott elő - igaz, a web- 
szolgáltatások témakörében. Milyen kihívásokkal 
szembesülnek napjaink vállalatai? Hisz már min- 
denen túlvannak, övék az Active Directory! Igen 
ám, de odalett az autonómia... 

Vegyünk egy tipikus céget, mely az elmúlt évek- 
ben kitartóan törekedett a vállalatban elszórtan 
megtalálható információmorzsák központosításá- 
ra. A clipperes alkalmazásokat kihajították, és he- 
lyükre vadonatúj, ügyfél-kiszolgáló felépítésű, 
valódi adatbázismotoros alkalmazás került. A há- 
lózati szigeteket bérelt vonallal összekapcsolták, 
és véres verejtékkel tartománykonszolidációt haj- 
tottak végre, hogy a négyszáz tartományt és 
munkacsoportot egy Active Directoryra cseréljék 
le. 

A nyereség könnyen kimutatható, s a korábbi ígé- 
reteknek megfelelő: a cég a központi adatbázissal 
okosabb, a központosított rendszerfelügyelettel 
rugalmasabb lett, s könnyebben él együtt azzal a 
helyzettel, hogy távoli telephelyeken nincs ,ér- 
telmes ember", akire feladatokat lehetne bízni. 
Ez mind igaz. Nemrégiben mégis csúnya konflik- 
tusba keveredtem egy hazai bankban, ahol egy 
elszigetelten működő, több szerverből, valamint 
egy saját NT4 tartományból álló kritikus alkalma- 
zás rendszergazdája kézzel-lábbal tiltakozott az 
Active Directoryba belépés, s ezzel egy elfoga- 
dott fejlesztési terv ellen. Kézenfekvőnek tűnik, 
hogy Active Directory bevezetésekor minden ko- 
rábbi tartományt és meghatalmazotti viszonyt 
(trust) oldjunk fel, és irtsuk ki a központi felü- 
gyeletet gátló tartományocskákat. Közelebbről 
megvizsgálva az alkalmazásszigetet, az derült ki, 
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hogy van ugyan egy saját tartományvezérlője, de 
csak azért, mert az SOL Server fürtön fut, a 
Cluster Service pedig tartományi fiókot igényel. 
Az SOL Servernek saját felhasználója nincs, egy 
nagygéppel textfájlokon keresztül kommunikál, 
és kész. Akár hiszik, akár nem, egyetlen felhasz- 
náló kallódott abban a tartományban (és erre 
sem lett volna szükség, ha a fürt nem olyan, ami- 
lyen). A rendszer évek óta változatlan formában 
fut, és még egyszer sem állt le. Mármost milyen 
előnyök származhatnának e tartomány beolvasz- 
tásából? Könnyebb rendszerfelügyelet? Aligha! 
Egyik legnagyobb erőssége, hogy hónapszámra 
hozzá sem kell nyúlni! Ha előny nincs, hátrány 
származhat-e az ,előrelépésből"? 

És itt veszett össze az Active Directory megterve- 
zésével és bevezetésével megbízott cég a belső 
rendszergazdával, a konfliktus feloldására külső 
szakértőként engem kértek fel. A problémát le- 
csupaszítva, politikai, érzelmi és egyéb vetületek- 
től megtisztítva ez marad: biztosítható-e, hogy 
egy (többezer felhasználós) Active Directoryban 
ne történhessen olyan változás, amely padlóra 
küldheti az eddig önállóan és zökkenőmentesen 
futó alkalmazást? Ha készítenénk egy nyilatkoza- 
tot erről, vajon lenne-e valaki, aki ezt aláírná? 
Két hónappal ezelőtt csupán a józan paraszti 
eszemre hallgatva utasítottam el, hogy szemé- 
lyes garanciát vállaljak egy tőlem független 
rendszer viselkedéséért. A sors azonban úgy hoz- 
ta, hogy pontosan a fenti dilemmára esettanul- 
mány született egy másik cégnél. Lepenye Tamás 
már készíti a következő , Ki mivel ...hammm" cik- 
ket, melyben elolvashatjuk, mint borította fel 
egyébként tökéletes fürtjét egy pár hónappal ko- 
rábbi AD-módosítás. Ha még az ő keze között is 
felborul, aki nálam tízszer alaposabban készít elő 
mindent, a változtatások előtt hősiesen elolvas- 
sa az összes vonatkozó Knowledge Base cikket, 
ki kell mondanunk: ez mindenkivel előfordulhat. 


Központi hibaforrás? 

Tudomásul kell vennünk, hogy központosított 
rendszereinkben a hibaforrás is központosított, a 
hiba hatása pedig globális. Vegyünk egy igen 
egyszerű példát: kézi, vagy automatikus IP-cím 
kiosztást válasszunk? 500 gép esetén nem kér- 
dés, hogy az utóbbit, DHCP-s megoldást válasz- 
tunk, mert nincs olyan szupermen ebben az or- 
szágban, aki akárcsak megközelítőleg olyan gyor- 
san és pontosan kiosztaná az IP-címeket, mint 
egy direkt erre a célra kitalált címosztó automa- 
ta. Megszüntettünk ötszáz pici hibalehetőséget - 
helyette kaptunk egy nagyot. Ha egy felelőtlen 
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Ezúttal olyan helyzeteket próbálunk megoldani, amikor a fürtöt olyan alapvető 
behatás éri, ami nem feltétlenül hiba, de akár az is lehet. 
Olyasmi szituációkat elemzünk, amikor ,a Föld fog sarkából kidőlni..." 
4. oldal 
Windows Update 
Corporate Edition 
Ez a cikk a Windows Update Corporate Editionről (WUCE) szól. Ez az eszköz megkönnyíti 
az Internetről letölthető Windows javítások vállalaton belüli telepítését. 
A WUCE a jól ismert Windows Update szolgáltatás továbbfejlesztése, segítségével 
megoldható, hogy a vállalati számítógépek ne közvetlenül az Internetről, hanem belső, 
vállalati kiszolgálókról töltsék le a javításokat. 
7. oldal 
Digital Encryption Standard 
Ritkán megjelenő kriptográfia-sorozatomban a tavaly decemberi nyílt kulcsú titkosítás 
(RSA-algoritmus) után most a szimmetrikus titkosítások legelterjedtebb képviselőjét, a DES 
(Digital Encryption Standard) eljárást nézzük meg értő szemmel. Mire a cikk végére érünk, 
mindenki tudni fogja, miként működik egy szubsztitúciós-permutációs hálót 2 8 24 14 
használó, CBC módú Feistel-cipher. WE 27 3 HE 
úg § 
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XP: tömörítése 
A Windows XP összes változata (Professional, Home) NT alapú. Ha pedig NT, 
értelemszerűen a korszerű, modern NTFS fájlrendszert választjuk, 
nem a régi öreg, korlátolt FAT-et, vagy tuningolt változatát, a FAT32-t. Ezzel kismillió 
szolgáltatáshoz (tranzakciónapló, jogosultsági rendszer, kvóta stb.) , jutunk, 
és kezünkbe kerül az on-the fly (röptében) tömörítés is. Így már két tömörítési eljárás közül 
választhatunk, hisz az XP ,zipelni" is tud. Mikor melyiket érdemes használni? 
22. oldal 
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A Windows XP 
4) Take a tour of Windows XP 
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25. oldal 





and then click Accessories. 
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e General] Detais Security 
Microsoft Exchan nge 2000 E 
Ét ún Központ (AdminkZPEnyvti [8.1 
Rendszergazdai jogosultságok ÉG Adririsrator NYVTRADERSVAáriírsratog [Beer 
Csakúgy, mint az Active Directoryban, az Exchange-ben is van lehetőség arra, ÍR Domzin Adnins (NWTRADERSWDOmzin Adni.. 
hogy meghatározott jogosultságokkal rendelkező kisrendszergazdákat stzztaááláádlááásás geza 
nevezzünk ki. Ennek legegyszerűbb módja, ha a System Managerben az AGE TTÉSE B a 


Exchange Administration Delegation Wizardot, 
vagyis a jogosultságosztó varázslót használjuk. 


29. oldal 
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Addíiónal permizsions are present but not 
Agy: — Í viewable here. Press Advanced to see them. 


F7. Allow inheritable permissions from parent to propagate to this 
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.NET Akadémia 


Tömbök és kollekciók rendezése, keresés, hashelés 

Az előző részben áttekintettük a kollekciók legfontosabb jellemzőit, megbeszéltük 

a hatékonysági kérdéseket, és láttuk, hogy a tömbök sokkal okosabbak 

mint azt elsőre feltételeznénk róluk. Láttuk az ArrayList osztály használatát, 
és elkezdtünk egy formos keresési példát. Ebben a részben megbeszéljük annak részleteit, és 
áttekintjük a maradék kollekcióosztályok működését. 


33. oldal 


Az Exchange 2000 Server 
és Web Storage Sy System: event Sinkek 


Véleményem szerint az egyik legizgalmasabb dolog az informatikában az, 

amikor a dolgok , maguktól történnek". Levelek jönnek-mennek, dokumentumok 

megváltoznak, mintha valami eleven kobold ülne a gépünk belsejében. A kobold ke l 
megszelídíthető, sőt engedelmességre is kényszeríthető, csak meg kell tanulnunk, hogyan 

MEZAMK hozzá. A jelszó: Event Sink! 
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(IX. rész) — Cluster a gyakorlatban 


Az előző alkalommal a hibabehatárolás és hibaelhárítás tudományába kóstoltunk bele. 
Ezúttal olyan helyzeteket próbálunk megoldani, amikor a fürtöt olyan alapvető 
behatás éri, ami nem feltétlenül hiba, de akár az is lehet. 

Olyasmi szituációkat elemzünk, amikor ,a Föld fog sarkából kidőlni..." 


Lemezcsere - földrengés Kaliforniában 

Többször vadásztunk már olyan pontokra, amelyek meghibáso- 
dása a teljes fürtöt használhatatlanná teszi. Találtunk is ilyene- 
ket, és ha tudtuk, megszüntettük őket. Vannak azonban olyan 
összetevők, amelyekből nem lehet több példányt használni - 
ezek a lemezek. Persze replikázhat az Olvasó, hogy azokat le- 
meztömbökbe lehet szervezni, így biztosítható az állandóságuk. 
Nem tudok teljesen egyetérteni. Az állandóság biztosításáról 
nem érdemes beszélni, ha például tűzvész pusztítja el a tömböt, 
de ennél kevésbé tragikus események hatására is eltűnhetnek. 
Egy lemez ugyanis összetett dolog: nemcsak a lemezterületből 
áll, hanem az őt azonosító betűjelből is, sőt egy lemeznek szig- 
natúrája, vagyis belső azonosítója is van a Windows NT - Win- 
dows 2000 világban. Ha bármelyik változik, a fürtszolgáltatá- 
sunk bizony azt gondolja, hogy a régi lemez eltűnt, és van itt 
valami új, amiről fogalma sincs, hogyan került ide. Erről úgy tá- 
jékoztat minket, hogy az adott lemezerőforrás ,hibás" állapot- 
ba kerül (guorum disk esetén a fürt el sem indul) , az esemény- 
naplóban pedig az alábbi bejegyzést találjuk: 


Event ID: 1034 

Source: ClusDisk 

Description: The disk associated with cluster 
disk resource DriveLetter2 could not be found. 
The expected signature of the disk was 
cXDiskSignature2. 


Magyarán az adott betűjellel jelölt lemezt a fürt nem találta. Azt 

a lemezt egy cDiskSignaturez kód azonosította volna. 

A hiba beszédes, és messzemenő következtetéseket lehet levon- 

ni belőle. 

1. A fürt a lemezerőforrásokat a betűjelük alapján tárolja, a fizi- 
kai lemezekhez pedig a lemezek szignatúrájának segítségé- 
vel kapcsolja. Vagyis: egy lemez mindaddig ,önmaga", amíg 
szignatúrája és/vagy betűjele nem változik. 

2. A lemezek szignatúrája nem ismeretlen fogalom. A Windows NT 
a dinamikus lemezekig bezárólag ezt a módszert alkalmazta 
a diszkek azonosítására. Tulajdonképpen egy regisztrációs 
kulcsról van szó, ami egyúttal a rendszerről rendszerre való 
hordozhatatlanságát is mutatja. Megérdemelten váltotta le 
a módszert a dinamikus lemez. Mindebből azonban az is kö- 
vetkezik, hogy a fürtszolgáltatás egy kicsit elmaradt a korá- 
tól és környezetétől. Mivel a szignatúrát használja, a dina- 
mikus lemezeknek pedig ilyen nincs, ezért a fürt és a dina- 
mikus lemez nem fér meg egymással. 


vörking vith 
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3. A szignatúrák ismeretével és használatával könnyedén túljár- 
hatunk a fürtszolgáltatás eszén. Ha viszont a lemezek ezen 
fontos adatai elvesznek, nagy bajban vagyunk! 

Lássuk tehát, hogy a megszerzett ismeretekkel hogyan lehet 

szakszerűen elvégezni a lemezek cseréjét. Legyen életszagú a 

példa: egy lemezterületet kinőtt egy alkalmazás. Az alatta lévő 

hardver lemeztömböt már sikerült bővíteni, most azt kell elér- 
nünk, hogy az ,L:" meghajtó által meghatározott lemez mérete 
megnövekedjék. A feladatlista a következő: 

Teljes mentés minden meghajtóról. 

A fürt leállítása. 

A lemez szignatúrájának megjegyzése. 

A lemez törlése a RAID alrendszer szintjén. 

Egy új, már megnövelt területű lemez definiálása. 

A lemez formázása és betűjellel való ellátása. 

A lemez szignatúrájának megváltoztatása az eredeti jelsorra. 

Adatvisszatöltés. 

9. A fürt indítása. 

A teljes mentés világos feladat, minden beavatkozás első lépése. 

Cluster esetén ez annyit jelent, hogy a mappák és állományok men- 

tése mellett a rendszerállapotot (system state) is menteni kell. A 

fürt leállítása már egy kicsit összetettebb. A menete a következő: 

1. Állítsuk át az egyik állomáson a clustdisk és a cluster szolgál- 
tatás indulását , kézi" vagy ,tiltott" módra. 

2. Kapcsoljuk le az imént konfigurált állomást. 

3. Végezzük el az első műveletet a másik állomáson is. 

4. Indítsuk újra a második állomást. 

Ezzel elértük, hogy a fürtszolgáltatás nem indult el, így a lemeze- 

ket sem fogja. A szignatúrát a Windows 2000 Resource Kit 

dumpcfg.exe segédprogramjával nyerhetjük ki. Futtatásához rend- 
szergazdai jogokkal kell rendelkeznünk. Kapcsoló nélkül indítva, 
két partíciót tartalmazó lemeznél a következő eredményt kapjuk: 


0 NOW B OWN. 


C:Vdumpcfg 


ISystem Information] 

Computer Name: TESTSERVER 

Cluster name (DNS): TESTSERVER.falatrax.hu 
Cluster name (NetBIOS): TESTVSERV 

System Root (install directory): C:(WINNT 
OS: Windows 2000 Server 

Service Pack: 


IDISKS] 
Disk Number: 0 





teü08. ÚT; 


Signature: 3137382D 


[Volumes] 

Volume $1: 

Drive letter: C: 

Volume Label: 

File System: NTFS 

Volume Type: Simple Volume XN Logical Drive 
Number of members: 1 

Member $l1: Partition - Disk: 0, 
32255 bytes, Length: 2047 MB 


Startingoffset: 


Volume $2: 

Drive letter: D: 
Volume Label: 
File System: NTFS 
BootXMBoot.iniXlSystem Volume: BOOT SYSTEM 
Volume Type: Simple Volume NY Logical Drive 
Number of members: 1 

Member $1: Partition - Disk: OD, 
2245830335b bytes, 


Startingoffset: 
Length: 2047 MB 


Miután a szignatúrát lejegyeztük, törölhetjük a RAID vezérlőben 
a logikai lemezt, és létrehozhatjuk az újat megnövelt területtel. 
A Windows 2000 szintjén ez azt jelenti, mintha egy új fizikai le- 
mez került volna a rendszerbe. A lemezkezelő beépülőmodult 
elindítva az operációs rendszer fel is fedezi majd az ,új" lemezt, 
új szignatúrát helyez el rajta és felajánlja, hogy konvertáljuk di- 
namikus lemezzé. Ez utóbbi műveletet ne engedélyezzük. Ele- 
gendő a régi betűjellel ellátni az új erőforrásunkat. 

Most már van egy új, nagyobb területtel rendelkező lemezünk, 
csakhogy eltérő szignatúrával, így a fürtünk bizonyosan nem fog 
indulni. A dumpcfg azonban újra a segítségünkre lesz. Újra fut- 
tassuk le kapcsolók nélkül és hasonlítsuk össze a kapott ered- 
ményt az eredeti futtatás kimenetével. Könnyedén meg lehet ál- 
lapítani, hogy mi volt az eredeti és mi a jelenlegi szignatúra 
ugyanannál a meghajtónál. Egy újabb parancs kiadásával máris 
el lehet tüntetni a különbséget: 


C:Vdumpcfg /s geredetiszignatúra? 
d,Kúj lemez. száma? 


A lényeggel megvolnánk. Most már az eredetivel azonos betű- 
jellel és szignatúrával rendelkezik az új lemezünk, tehát definí- 
ció szerint ,azonos" is azzal. Nincs más dolgunk, csak a mentés 
visszaállítása, majd a fürt elindítása a leállításkor alkalmazott 
módszer visszafelé alkalmazásával. 

A fenti módszer egyébként akkor is működik, ha nem tervszerű 
a lemez cseréje. Meghibásodás után ugyanis a cikk elején emlí- 
tett eseménynapló-bejegyzés pontosan megadja, hogy az erede- 
ti lemez milyen betűjellel és szignatúrával rendelkezett, tulaj- 
donképpen elvégzi helyettünk utólag az adatgyűjtést. A men- 
tést persze semmi sem pótolja! 

Mivel a módszer bármely, a fürt által használt lemezre érvényes, 
akár a guorum-lemezt is cserélhetjük így. Van azonban ennél 
egyszerűbb módszer is. Íme: 

Definiáljuk az új lemezt a RAID vezérlőben. 

Ismertessük meg a diszket a Windows 2000 lemezkezelőjével. 
Formázzuk meg és adjunk neki betűjelet. 

Definiáljuk lemezerőforrásként a cluster erőforráscsoportban. 
Jelenítsük meg a fürtkiszolgáló tulajdonságait. (Jobbklikk a 
fürt nevén-sTulajdonságok) 
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6. Adjuk meg az új erőforrást az ábrán 1-gyel jelölt. 
legördülő listában 

7. Adjuk meg a megfelelő partíciót a 2-vel jelölt 
listában, ha több része van a lemeznek. 

A fürt elvégzi a megfelelő másolásokat. Ha végzett, próbál- - 

juk ki az erőforrások át- és visszaköltöztetését. Ha nem tapasz- 

talunk hibát, törölhetjük az eredeti guorum-lemezerőforrást. 


PALA ao eayaai ju giug 


General. Ovorum ] Network Ptioriy ] Security ] 


émfZ-a AJK-CORPSERVI 
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Auorum resource: 


r Custer maintenance files 








Partition 0: (Ouorum disk) 
! Foot pathc NMSCSV 





! Reset guorum log at. [4096 





5 A guorum áthelyezése nem is bonyolult 


A fürt IP címeinek változása 

A lemezcserénél nem kisebb változás egy fürt életében, ha az ál- 
lomások hálózati kártyája, vagy azok IP címe változik meg. Kö- 
rültekintő eljárással azonban ez a feladat is megoldható. A mó- 
dosulás természetét két részre bonthatjuk: a külső, nyilvános 
hálózati csatolók vagy IP-címek, és a belső, szívhang forgalom- 
ra fenntartott kártyák vagy IP-címek változására. 

Kezdjük a nyilvános IP-címekkel. Fontos megjegyzés, hogy a 
változás közben gondoskodni kell arról, hogy a fürt képes le- 
gyen kommunikálni legalább egy tartományvezérlővel. Erre 
azért van szükség, hogy a fürtszolgáltatás fiókját a tartomány- 
vezérlő képes legyen hitelesíteni. 

Mozgassuk át valamennyi csoportot a második állomásra, majd 
az első állomáson változtassuk meg az IP-címet. Indítsuk újra a 
node-ot. Újraindulás után erről az állomásról indítsuk el a fürt- 
adminisztrátort. Csatlakozzunk újra a ,,." kapcsolóval az állomá- 
son keresztül a fürthöz. Ellenőrizzük az IP-erőforrásoknál, hogy 
az új hálózati cím látható-e. Ha igen, mozgassunk át minden 
erőforrást erre az állomásra, és hajtsuk végre az IP-cím átálli- 
tást a másik állomáson is. Újraindítás után győződjünk meg ar- 
ról, hogy a régi hálózati címek eltűntek. 





[/drctar [des 
CompsaNCZIZJ ost Etheret MC 22 100020 
Comosa MCII63 Post Etherret MC 192.168.112.2 
CompsaNC3I63 Fast Elhermet NC 192.168.112.1 
ComosaetmodeTesmng Vriualtánpart 100021 





5 IP címek a fürtben - Itt ellenőrizhető, hogy eltűntek-e a 
régi címek a váltás után 
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Farkasokkal táncoló (IX. rész) - Cluster a gyakorlatban / hu 1 ndow S 


Ha az IP-cím mellett a hálózati alcímet is meg kell 

változtatni (vagy éppenséggel csak azt kell), sajnos 

nem úszhatjuk meg a virtuális szerverek teljes leállá- 

sa nélkül. Ennek az az oka, hogy a fürtszolgáltatás je- 

lenleg nem támogatja, hogy a fürtöt alkotó állomások külön 

hálózatban legyenek. (Ezt egyébként azonos alhálózati maszkkal 
sem támogatja!) A megoldás menete tehát a következő: 

1. Valamennyi erőforráscsoportban le kell állítani az IP-erőforrá- 
sokat és a tőlük függő többi erőforrást is. Ezután lekapcsol- 
ható maga a fürtszolgáltatás is. Erre azért van szükség, 
hogy a fürtszolgáltatás indulásakor az IP-címek és a tőlük 
függő erőforrások még ne induljanak el. 

2. Át kell állítani az állomások IP-címeit a fent leírt módon. Az 
átmozgatást nem kell végrehajtani (nem is lehet). 

3. Mindkét állomás átállítása után az álló IP-erőforrások para- 
métereit (IP-cím, alhálózati maszk) át lehet állítani, majd 
egyesével elindíthatók. 

Szintén kieséshez vezet, ha a belső IP-cím vagy hálózati kártya 
változik. Míg az IP-cím változására itt minimális az esély, a bel- 
ső kártya tönkremehet. Ha egy új kártyát teszünk be (amelynek 
új neve van), a fürt nem fogja automatikusan belső forgalomra 
használni, erről fel kell őt világosítani. A változtatás menete rö- 
viden a következő: 

1. Le kell kapcsolni a második állomást. 

2. Az első állomáson definiáljuk az új kártyát mint belső hasz- 
nálatra szánt hálózatot. 

3. A változások mentése után kapcsoljuk le ezt az állomást is. 

4. Indítsuk el a második állomást. 

5. Győződjünk meg arról, hogy a fürtszolgáltatás elindult, és a 
változásokat a futó állomás átvette. 

6. Az első node-ot újra indítsuk el. Győződjünk meg arról, hogy 
a fürtszolgáltatás hiba nélkül működik. 


"MAL-CORPSERY3. Properties 


General ] Ovorum . Netwnd Prinrty ] Biztoncág ) 


ség MALCORPSERV3 


Networks used for intemal cluster communications: 


Internal(1) Properties 


í [7 Enable this network for custer use 

! "This network performs the following role in the eluster: 

] €C Cient access only (piblic network) 

! G Intemal cluster communications only (private network) 
l C Al communications (rrixed network) 


State: Up 
Subnet mask: 255.255.25b.0 








[ok ] 0 Mésse [f/ érez ] 


5 Hálózati csatolók szerepe - tanítani kell a fürtöt... 
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Tartományváltás 

Még ritkábban, de előfordulhat, hogy a fürtöt egy másik tarto- 

mányba kell áthelyezni. Sajnos itt nagyon kevés jó hírem van. Ha- 

bár egy fürt áthelyezése nem lehetetlen, a felette futó fürtözött 

alkalmazások korlátait figyelembe kell venni. Ha Exchange 2000 

vagy SOL Servert fürtöztünk, az egyetlen járható út a fürt újraépí- 

tése. Más alkalmazások előtt tanulmányozzuk alaposan a gyártó 

által biztosított dokumentációt. Tegyük fel azonban, hogy csak a 

Windows 2000 szolgáltatásaiból építettük fel a magas rendelke- 

zésre állású szolgáltatásainkat, és tartományt kell váltanunk. Ek- 

kor a következő tevékenységeket kell elvégezni: 

1. Az új fürtszolgáltatás-fiók létrehozása az új tartományban. 
A cikksorozat második részében leírtak szerint kell eljárni. 

2. Le kell kapcsolni a fürtszolgáltatást mindkét állomáson. Az in- 
dítási paramétert , kézire" kell állítani. 

3. A fürtöt meg kell szabadítani a tartományvezérlő funkciótól. 
(Ez csak Windows 2000 alatt lehetséges. Ha NT4-es fürtünk van, 
és azok tartományvezérlők, a tartományváltás nem lehetséges. ) 

4. El kell végezni az első állomás átmozgatását. 

5. Le kell cserélni a cluster zolgáltatás fiókját az új fiókra. 

6. EL kell indítani a fürtszolgáltatást, és ellenőrizni kell, hogy 
minden működőképes. Ha minden rendben, újra le kell állí- 
tani a szolgáltatást. 

7. Át kell mozgatni a másik állomást is. 

8. Végre kell hajtani a fiókcserét itt is. Visszaállítható a szolgál- 
tatás indítása automatikusra. 

9. Indítható a fürtszolgáltatás. 
Ha a DNS szolgáltatásunkat úgy konfiguráltuk, hogy csak bizton- 
ságos frissítést engedélyezünk, még egy problémába ütközhetünk. 
hát az új fiók regisztrációs kérelmét a DNS kiszolgáló visszautasí- 
taná. A legegyszerűbb megoldás, hogy a DNS zónaállományból tö- 
röljük a virtuális szerverek neveit, majd a hálózati néverőforráso- 
kat újra kell indítani. Ekkor már sikeres lesz a regisztráció. 


Lepenye Tamás, MCSE 2000 
lepenyet omal.hu 


0251284  Cluster Server Cannot Start If the Ouorum Disk Space 
Is Full 

0280345  Ouorum Drive Configuration Information 

0280425  Recovering from an Event ID 1034 on a Server Cluster 

0243195 Event ID 1034 for MSCS Shared Disk After Disk 
Replacement 

0267548 Cluster IP Resource Fails After Network Change 

0230356 Changing the IP Address of Network Adapters in 
Cluster Server 

0279119  Unable to Fail Over the Cluster if Nodes Have 
Different Subnets ? 

0269196 How to Move a Cluster Server from One Do-main to 
Another 
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Windows Update. 
orporate Edition 


Ez a cikk a Windows Update Corporate Editionről (WUCE) szól. Ez az eszköz megkönnyíti 
az Internetről letölthető Windows javítások vállalaton belüli telepítését. 

A WUCE a jól ismert Windows Update szolgáltatás továbbfejlesztése, segítségével 
megoldható, hogy a vállalati számítógépek ne közvetlenül az Internetről, hanem belső, 
vállalati kiszolgálókról töltsék le a javításokat. 


Hogyan történik manapság a javítások telepítése? Rendszeresen el- 
lenőriznünk kell, hogy a Windows Update vagy a Microsoft Security 
Web helyszínen megjelentek-e újabb javítások. Ha igen, kézzel le- 
töltjük, teszteljük, majd szintén manuálisan, vagy a hagyományos 
szoftvertelepítő eszközök használatával telepítjük. A WUCE ezt a fo- 
lyamatot automatizálja. Használatával a Windows számítógépek ér- 
tesítést kapnak az új frissítésekről (akár rendelkeznek Internet hoz- 
záféréssel, akár nem), és a telepítés is megtörténik. 
A WUCE komponensei: 
2 Tartalomszinkronizáló szolgáltatás. A szinkronizáló szolgálta- 
tás egy kiszolgálóoldali összetevő, amely a nyilvános Win- 
dows Update szolgáltatástól szerzi be a legújabb frissítése- 
ket. Ha új frissítések kerülnek a webre, azok meghatározott 
ütemezés szerint automatikusan letöltődnek. Ha nincs üte- 
mezés beállítva, a letöltés kézzel is elvégezhető. 

Intranetes Windows Update kiszolgáló. Ez a kiszolgáló virtuá- 

lis Windows Update kiszolgálóként működik az ügyfélszámí- 

tógépek számára, magyarul az Internetes Windows Update 
helyett ehhez csatlakoztathatók az ügyfélszámítógépek. 

HTTP protokollon keresztül szolgálja ki a munkaállomások- 

tól érkező, frissítésekre vonatkozó kérelmeket. 

0 A frissítések felügyelete. A rendszergazda felelőssége, hogy 
meghatározza, hogy (szükség szerinti belső tesztelés után) 
mely frissítéseket hagyja jóvá telepítésre, és hogy mikor ke- 
rüljenek telepítésre. Beállítható, hogy a hálózat mely számí- 
tógépei tölthetik le és telepíthetik egy adott vállalti Windows 
Update kiszolgálóról származó frissítéseket. Ez a felügyeleti 
lehetőség Active Directory környezetben csoportházirend se- 
gítségével, egyéb esetben a rendszerleíró adatbázis használa- 
tával érhető el. Teljes egészében a rendszergazdán múlik, 
hogy a vállalat gépei melyik Automatic Updates kiszolgálóhoz 
csatlakoznak, onnan melyik frissítéseket töltik le, stb. 

7 Intelligens ügyféloldali ügynök. Az ügyféloldali ügynök az 
intranetes Windows Update kiszolgáló lekérdezésével álla- 
pítja meg, hogy melyik frissítésekre van szükség, ezeket a 
hátérben letölti, és automatikusan telepíti is. 


Bi 


A Windows Update Corporate Edition és más szoftvertelepí- 
tési technológiák 

A WUCE alapvető célja a vállalati tűzfalon belül történő Win- 
dows Update telepítés. Nem használható egyéb szoftvertelepí- 
tési megoldásának felváltására, így nem alkalmazható a Systems 
Management Server (SMS) vagy a csoportházirenden alapuló 
szoftvertelepítés helyett sem. A Microsoft inkább azon dolgozik, 
hogy a WUCE az SMS-be is beilleszkedjen, hisz így az összes 
szoftvert az SMS kihasználásával lehetne telepíteni. 
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Ügyféloldal 

Az ügyfél a Windows Update Automatic Updates technológián alapul, 

amely először a Windows Me-ben jelent meg, majd jelentős fejlesz- 

tések után került be a Windows XP-be. Tulajdonságai a következők: 

2 Beépített biztonság: Az Automatic Updates szolgáltatás hasz- 

nálatához rendszergazdai jogok szükségesek, így jogosulat- 

lan felhasználók nem használhatják. A letöltött frissítések 
telepítése előtt ellenőrzi, hogy a fájlok a Microsoft digitális 
aláírásával rendelkeznek-e. 

Azonnali értékelés: Az Automatic Updates a Windows Update 

szolgáltatás technológiáinak használatával átvizsgálja a 

rendszert, és meghatározza, hogy egy adott számítógépre 

mely frissítéseket lehet telepíteni. 

2 Letöltés a háttérben: Az Automatic Updates a Background 
Intelligent Transfer Service (8BITS) használatával tölti le a 
frissítéseket. Ez az új sávszélesség-szabályozó technológia a 
Windows XP-ben és az annál újabb operációs rendszerekben 
található meg, és csak az üresjárati sávszélességet használ- 
ja, így a letöltés nem zavarja vagy lassítja a többi hálózati 
forgalmat, például az Internetböngészést. (Maga a BITS 
szolgáltatás több szót is megérdemelne, de nincs agyonpubli- 
kálva a téma. Egyelőre annyit tudunk, hogy az ABC rendben 
éppen az Automatic Update mögött áll. Ha valaki többet tud 
róla, ne fojtsa magába, írjon nekünk!) 


Név I Leírás lálapot —— ] Indítási típus 
gyautomatic Updates Enables the dow... — Elindítva —— Automatikus 


ktBackground Inteligent Transfer Service  Uses idle network... — Elindítva Kézi 


5 Újabb ismeretlen Windows szolgáltatás: a BITS! 


"0 Láncszerű telepítés: Ha egyszerre több frissítés telepítésére 
kerül sor, és az egyik újraindítást igényel, az Automatic 
Updates mindet egyszerre telepíti, és csak egyszer indítja 
újra a számítógépet. 

"2 Több nyelv támogatása: Az ügyfél a Windows helyi verzióin 
is használható. 


Kiszolgálóoldal 

A WUCE kiszolgáló alapja ugyanaz a technológia, amely a Win- 
dows Update Web helyszínen 1998 közepe óta működik. Service 
Pack 2 vagy annál újabb szervizcsomaggal frissített Windows 
2000 Serverre telepíthető. A kiszolgálón engedélyezni kell az 
Internet Information Services-t (IIS). 

Fontos! Mielőtt a kiszolgálót vállalati Windows Update kiszolgá- 
lóként telepítjük, ellenőrizzük, hogy futnak-e rajta a legfrissebb 
Windows biztonsági javítások! A kiszolgáló többek között a kö- 
vetkező tulajdonságokkal rendelkezik: 
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4 A frissítéseket tároló számítógépen csak rendszergaz- 
av A dai jogokkal rendelkező felhasználók férhetnek hoz- 
zá az adminisztrációs weboldalakhoz (a rendszergaz- 
S dai felület webalapú) . A szinkronizálás során a kiszolgá- 
lóra letöltődő minden frissítés digitális aláírása ellenőrzésre 
kerül. Ha az aláírást nem a Microsoft adta ki, a frissítés törlődik. 
A vállalati Windows Update kiszolgálóra szinkronizált frissítések 
nem válnak azonnal, és automatikusan elérhetővé. Mielőtt a fris- 
sítés letölthetővé válik, a rendszergazdának jóvá kell hagynia azt. 
A frissítések adatbázisa. a nyilvános Windows Update kiszolgáló- 
val manuálisan vagy automatikusan szinkronizálható. A frissíté- 
si fájlokat jó előre letölthetjük, vagy a Windows Update letölté- 
si kiszolgálók világméretű hálózatából kiválaszthatjuk a földraj- 
zilag legközelebb eső nyilvános kiszolgálót. 
Hogy a frissítés Internetkapcsolattal nem rendelkező hálózat- 
ban található számítógépeken is elvégezhető legyen, a kiszolgá- 
ló lehetővé teszi a tárolt tartalom exportálását, és egy másik 
vállalati Windows Update kiszolgálóra történő importálását. A 
frissítéseken lévő digitális aláírás ettől nem sérül meg, mivel 
gyakorlatilag egyszerű fájlmásolásról van szó. 
Bár a kiszolgáló felhasználói felülete angol nyelvű, támogatja a 
más nyelvi verziójú operációs rendszerekhez készített frissítések 
közzétételét is. Beállíthatjuk, hogy mely nyelvekre vonatkozó 
frissítéseket töltse le. 
A jóváhagyási és a szinkronizálási műveletek naplózásra kerül- 
nek. A kiszolgáló állapota folyamatosan ellenőrizhető. 


A frissítés menete 

Állítsuk be valamilyen ütemezés szerint az Automatic Updates há- 
zirendjét (például minden nap hajnali háromra). A frissítés sikeres 
letöltése után az Automatic Updates naplózza az eseményt. 
Ezután a telepítés előtt öt percig visszaszámlálás jelenik meg a ké- 
pernyőn. Ha a rendszerben van bejelentkezett rendszergazda, ek- 
kor még leállíthatja a telepítést (így az másnap hajnali háromra ke- 
rül át). Ha nincs bejelentkezve rendszergazda, vagy ha nem állít- 
juk le a visszaszámlálást, a telepítés automatikusan folytatódik. 
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Kiszolgálók frissítése 

Míg a munkaállomások akár minden éjjel újraindíthatók, ez a ki- 
szolgálókról már nem mindig mondható el. 

Kritikus fontosságú, újraindításra kényes kiszolgálókon úgy ál- 
lítsuk be az Automatic Updatest, hogy automatikusan töltse le 
a frissítéseket, és értesítsen, ha a frissítések telepítésre készen 
állnak. A frissítés sikeres letöltése után az Automatic Updates 
naplózza az eseményt, hogy a frissítés telepítésre készen áll, de 
a telepítés nem indul el automatikusan. 

Ha távolról ellenőrizzük a kiszolgáló rendszereseményeit, látni fog- 
juk, hogy a frissítés telepítésre kész. Mi határozzuk meg, mikor ak- 
tuális a következő tervezett rendszerkarbantartás. Az ennek megfe- 
lelő napon és időben rendszergazdaként bejelentkezünk a kiszolgá- 
lóra, és az Automatic Updates használatával telepítjük a frissítést. 
Esetleg úgy is beállíthatjuk az Automatic Updatest, hogy ritkáb- 
ban (például minden szombaton hajnali három órakor) hajtsa vég- 
re az ütemezett telepítést. Ha ez biztonsági kérdéseket vet fel 
(miért pont a kiszolgálókon ér rá egy teljes hétig a legújabb bizton- 
sági javítások telepítése?) , nincs mese, kézi telepítésre kell felké- 
szülnünk. Az emberi gondolkodás nem mindig spórolható meg. 
Az ütemezett telepítések ritkítása nem jelenti a letöltések kima- 
radását is, a BITS szorgosan töltögeti a telepítenivalót. Ha nem 
akarjuk azonnal végrehajtatni a telepítést (bezárjuk az 
Automatic Updates ablakot) , az ikon megmarad az értesítési te- 
rületen, így az ütemezett telepítés előtt is bármikor elkezdhet- 
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jük a telepítést. Ha erre szombat hajnali 3-ig nem került sor, au- 
tomatikusan elindul a munka. 

A Windows Update szolgáltatáson közzétett minden frissítést 
érdemes tesztelni, mielőtt azok a hálózat számítógépeire tele- 
pülnek. Miután teszteltük a frissítéseket, jóváhagyjuk azokat. 


A Windows Update a felhasználó nézőpontjából 

A felhasználók az Automatic Updates Clientet egy Varázsló hasz- 
nálatával állíthatják be, amely 24 órával az után jelenik meg, 
hogy a számítógép kapcsolatot létesített a Windows Update 
szolgáltatással. Az Automatic Updates Client beállítása helyileg 
a Vezérlőpulton található Automatic Updates beállítási oldal 
használatával (ez a Windows XP-ben a System Properties-ben; a 
Windows 2000-ben az Automatic Updates Properties-ben talál- 
ható), távolról pedig csoportházirend vagy a rendszerleíró adat- 
bázis használatával is elvégezhető. A System Properties beállí- 
tási lehetőségeit az alábbi ábra mutatja be: 





Rendszertulajdonságok 
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—] Automatikus frissítések 





I A Windows automatikusan megkeresheti és letöltheti az Ön 
számítógépéhez szükséges frissítéseket. 








v]4 számítógép automatikus írissítése. ezzel a beállítással a 
Windows Update szoftver automatikus frissülhet az egyéb 
frissítések alkalmazása előtt. 








] Az automatikus frissítés bővebb ismertetése 
Beállítások 


o Értesítsen a frissítések letöltése előtt, és értesítsen újra a telepítés 
megkezdése előtt. 


o Töltse le a frissítéseket automatikusan, és értesítsen, amikor 
készen állnak a telepítésre. 





I o Töltse le a frissítéseket automatikusan, és a megadott ütemezés 
szerint telepítse őket. 








$ bővebb ismertetése 














5 Az Automatic Updates beállítási lehetőségei egy magyar 
Windows XP-n 


A következő lehetőségek állnak rendelkezésre: 

b Értesítés a frissítések letöltése előtt, majd újabb értesítés a 
telepítés előtt. 

0 A frissítések automatikus letöltése, majd értesítés a telepí- 
tés előtt. 

2 A frissítések automatikus letöltése, majd telepítése a meg- 
határozott ütemezés szerint. 

Az értesítést az értesítési területen megjelenő ikon és üzenet 

végzi. Az események a rendszernaplóban is tárolódnak. 


ij New updates are ready to install x 


Updates for your computer have been downloaded from 
Windows Update. Click here to review these updates and 
install them. 








A letöltés 

Az Automatic Updates a frissítéseket a felhasználó által megha- 
tározott beállítások szerint tölti le. A Background Intelligent 
Transfer Service (BITS) szolgáltatás használatával a letöltést 
üresjárati sávszélesség használatával végzi. Ha az Automatic 
Updates úgy van beállítva, hogy értesítse a felhasználót a letöl- 
tésre készen álló frissítésekről, az értesítést a számítógép egy 
bejelentkezett rendszergazdájának küldi el. Ha rendszergazda 
nincs bejelentkezve, az Automatic Updates megvárja, amíg va- 
lamelyik bejelentkezik, és akkor küldi az értesítést. 


A telepítés 

Ha az Automatic Updates úgy van beállítva, hogy értesítse a fel- 
használót, ha egy frissítés telepítésre készen áll, az értesítés a 
rendszer eseménynaplójába és az értesítési területre kerül. 

Ha az üzenetre, vagy az értesítési területen tévő ikonra kattin- 
tunk, az Automatic Updates az alábbi ábra szerint megjeleníti a 
telepítésre készen álló frissítéseket. Ezután az Install gombra 
kattintva el kell indítania a telepítést. Ha a frissítés telepítésé- 
hez a számítógép újraindítására is szükség van, erről egy üze- 
net jelenik meg. A rendszer újraindításának elvégzéséig az 
Automatic Updates nem képes újabb frissítést kezelni. 
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Ready to Install 





The following updates are recommended for your computer. Review the (ist of updates and 
click "Instal!" to continue. 








indows XP Update Package. October 25. 2001 

This update resolves all critical issues that were found in Windows XP between 
August 2001 and October 2001. and is discussed in Microsolt Knowledge Base (KB) 
Article 0309521. Among the updates included in this package are several that 
eliminate secutity vulnerabilíties. Download now to ensure that you have all 

the latest critical updates for Windows XP. 





setren 











0 Az Automatic Updates , Ready to Install" párbeszédpanel 


A Remind Me Later gomb használatával a telepítés elhalasztha- 
tó. Választható időtartamok: 30 perc, 1 óra, 2 óra, 4 óra, 8 óra, 
másnap, 3 nap múlva. 


Ütemezett telepítés 

Ha az Automatic Updates úgy van beállítva, hogy a telepítést 
ütemezés alapján végezze, az új frissítések letöltődnek és a te- 
lepítésig várakoznak. A rendszergazda az értesítési területen 
megjelenő ikon segítségével értesítést kap. Ha a felhasználó ek- 
kor az ikonra vagy az üzenetre kattint, egy, a fenti ábrához ha- 
sonló párbeszédpanel jelenik meg, amelyen a Remind Me Later 
gomb le van tiltva. Ekkor elvégezhető a telepítés. 

Az ütemezésnek megfelelő napon és időben az Automatic Updates 
telepíti a frissítést és (ha szükséges) újraindítja a számítógépet, 
még ha nincs is helyi rendszergazda bejelentkezve. Ha pedig van, 
figyelmeztetést jelenít meg, hogy a telepítés el fog kezdődni. 
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Automatic Updates 










"Windovis is ready to begin installing the updates available for your computer. 
Do you want Windows to install the updates now? 


( ses ) 


(installation wil start F no aztjon E taken within 5 minutes) 








5 Az Automatic Updates telepítés előtti visszaszámlálása 


Ha újraindításra is szükség van, és rendszergazda van bejelent- 
kezve, visszaszámlálás jelenik meg, amely figyelmezteti a hama- 
rosan bekövetkező újraindulásra. 


Felügyelet házirendek használatával 

Mint azt többször említettük,az Automatic Updates működése 
Active Directory környezetben csoportházirend szabályok beállí- 
tásával szabályozható. A csoportházirendben meghatározott 
beállítások mindig elsőbbséget élveznek a felhasználó által 
beállítottakhoz képest (ilyenkor az Automatic Updates Vezérlő- 
pultról elérhető beállítási lehetőségei le vannak tiltva) . 


Az Automatic Updates beállítása 

Ez a csoportházirend beállítás (amely a User Configurationl 
Administrative Templates Windows Components Windows Update 
helyen található) határozza meg, hogy az adott számítógép kap-e 
biztonsági frissítéseket és egyéb fontos letöltéseket az Automatic 
Updatesen keresztül. Ha ezt engedélyezzük, ez egyúttal meghatá- 
rozza a letöltési és telepítési működést is. 





(Ez r 


Configure Automatic Updates Properties. 





( Setting  Explain ] it 


a Configure Automatic Updates 
O Not Configured 
Di Í 





O Disabled 





Configure automatic updating: 


3 - Auto download and notify for install 





The following settings are only regyired 
and applicable if 4 is selected. 
Scheduled install day: 1y day 


Scheduled install time: / 03:00 

















Supported on: at least Windows 2000 with S$P3 or WindowsxP with S... 


5 Csoportházirend beállítás az Automatic Updates szolgálta- 
táshoz 


















































A legördülő menüben a következő három lehetőség közül vá- 

laszthatunk: b 

B Értesítés mind a letöltés, mind a telepítés előtt. 

8 Aletöltés automatikus, de értesítést kapunk telepítés előtt. 

"8 Automatikus letöltés, ütemezett telepítés. Ha az Automatic 
Updates ütemezett telepítésre van beállítva, a telepítés 
napját és idejét is meg kell adni. 


EBDDB: ÚT. 
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seg 

[ Ha ez a házirend le van tiltva (Disabled), az 
! A Automatic Updates semmilyen rendszerfrissítést nem 
a végez, a közzétett frissítéseket kézzel kell letölteni és 
ati telepíteni a http://windowsupdate.microsoft.com cí- 


men található Windows Update helyszín használatával. 


A vállalati Windows Update kiszolgáló beállítása 

A csoportházirend segítségével egy különálló statisztikai kiszol- 
gáló is beállítható, amely a letöltési és telepítési állapotot fi- 
gyeli. A statisztikai kiszolgáló egy olyan IIS 5.0, amelyen enge- 
délyezve van a naplózás. 
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Windows Update server location Pro... [2]Eg 









"Specify inti 


Settng ( Explain] 








ú Specify intranet Windows Update server location 


O Not Configured 

O Enabled 

O Disabled 

Set the intranet server for detecting updates: 
[daszAntranet Cow] 


Set the intranet statistics server: 
pnezAntranetőtawul a] 
(example: http:Z4lntranetCorpWwuU) 





Supported on: Windows 2000 SP3, Windows XP SP1, Windows .NE... 
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5 Csoportházirend beállítás a vállalati Windows Update ki- 
szolgáló megadásához 


Házirendminták 

A WUCE kiszolgáló telepítőcsomagja házirend mintafájlt is tartal- 
maz (Wuau.adm), amely az itt korábban részletezett csoporthá- 
zirend beállításokat tartalmazza. E beállítások egy mozdulattal a 
csoportházirend-szerkesztőbe tölthetők. Ezeket a Házirendeket a 
Windows 2000 Service Pack 3 javítócsomag System.adm fájlja is 
tartalmazza, és később megtalálhatók lesznek a Windows .NET ki- 
szolgálócsaládban és a Windows XP Service Pack 1-ben is. 


Beállítási lehetőségek Active Directory nélküli környezetben 
Active Directory híján a rendszerleíró adatbázis szerkesztésével 
állíthatjuk be az Automatic Updatest (a HKLM Software IPolicies ) 
Microsoft Windows IWindowsUpdate AU helyen): 
"8 NoAutoUpdate 
Értéktartomány -— 0]1. 0 — az Automatic Updates engedélye- 
zése (alapértelmezés), 1 - az Automatic Updates letiltása. 
8 AUOptions 
Értéktartomány — 2]3]4. 2 — értesítés a letöltésről és a tele- 
pítésről, 3 - automatikus letöltés, értesítés a telepítésről, 4 - 
automatikus letöltés, ütemezett telepítés. Az értesítést 
minden esetben a helyi rendszergazda kapja. 
"8 ScheduledinstallTime 
Értéktartomány - n; ahol az n - a telepítés ideje 24 órás for- 
mátumban (0-23). 


10 
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8 UseWUServer 
Állítsuk 1-re, hogy az Automatic Updates a Windows Update 
kiszolgálót a WUServer-ben meghatározott módon használja. 
0 ScheduledinstallDay 
Értéktartomány — 0]1121314]516]7. 0 - Minden nap; 1-től 7-ig 
- a hét napjai vasárnaptól (1) szombatig (7). 
A munkaállomások egyedi WUCE kiszolgálóra irányításához új 
registrykulcsokat kell felvenni a következő kulcs alá: 


HKLMNSoftwareXlPoliciesMicrosoftWWindowsN 
$ WindowsUpdate 


8 WUServer 
A Windows Update intranet kiszolgáló beállítása a HTTP neve 
alapján (például http://intranetcorpwu). 

8 WuStatusServer 
A Windows Update statisztikai intranet kiszolgáló beállítása 
a HTTP neve alapján (például http://intranetcorpwu). 


Rendszeresemények 

Az Automatic Updates a következő rendszereseményeket naplózza: 

8 Unable to connect: az Automatic Updates nem képes a frissí- 
tési szolgáltatáshoz (a Windows Update-hez vagy a vállalati 
Windows Update kiszolgálóhoz) kapcsolódni, és így nem ké- 
pes a beállított ütemezésnek megfelelően letölteni és tele- 
píteni a frissítéseket. A Windows folyamatosan próbálkozik 
a kapcsolat létrehozásával. 

"8 Install ready - no recurring schedule: Az eseménynaplóban 
felsorolt letöltött frissítések telepítésre készen állnak. A 
frissítések telepítéséhez a rendszergazdának be kell jelent- 
keznie arra a számítógépre, ahol az ikon megjelent az érte- 
sítési területen. 

B Install ready - recurring schedule: Az eseménynaplóban fel- 
sorolt letöltött frissítések telepítésre készen állnak. Itt a frissíté- 
sek telepítésének ütemezett napja és ideje is fel van tüntetve. 

0 Install Success: A sikeresen telepített frissítések felsorolása. 

0 Install Failure: A sikertelenül telepített frissítések felsorolása. 

0 Restart reguired - no recurring schedule: A felsorolt frissí- 
tések telepítésének befejezéséhez a számítógépet újra kell 
indítani. Az újraindítás végrehajtása előtt a Windows nem 
képes új frissítéseket letölteni. 

"8 Restart reguired - recurring schedule: A felsorolt frissítések 
telepítésének befejezéséhez a számítógép öt percen belül 
újraindul. Az újraindítás végrehajtása előtt a Windows nem 
képes új frissítéseket letölteni. 


A WUCE kiszolgáló beállításai 

A beállítási lehetőségek a következők: 

"0 ArKkiszolgáló neve. 

-b Annak meghatározása, hogy a frissítések az Internetes Windows 
Update szolgáltatáson vagy a vállalati intraneten találha- 
tók-e meg. Ha az intraneten, akkor a kiszolgálón IIS 5.0-nek 
kell lennie és meg kell adni a fájlok helyét. 

"8 A proxykiszolgáló adatai az Internetkapcsolathoz. 

8 A korábban jóváhagyott tartalom kezelésére vonatkozó beál- 
lítások. Ezek akkor fontosak, ha a korábban jóváhagyott tar- 
talom később módosul a Windows Update szolgáltatáson. 

A kiszolgálónév kivételével ezek a beállítások később a HTTP-n ke- 

resztül elérhető adminisztrációs felület használatával módosíthatók. 





A Windows Update a rendszergazda nézőpontjából 

A WUCE kezelésének négy legfontosabb feladata a következő: 

1. A wKkiszolgáló beállítása a telepítés után. 

2. A nyilvános Windows Update szolgáltatáson és a vállalati 
Windows Update kiszolgálón található tartalom manuális 
vagy automatikus szinkronizálása. 

3. A szinkronizált tartalom kiválogatása és jóváhagyása az 
Automatic Updates ügyfelet futtató számítógépek számára. 

4. A kiszolgáló állapotának és naplójának ellenőrzése. 

Ezek a kezelési feladatok weboldalak használatával végezhetők 

el, amelyek magán a vállalati Windows Update kiszolgálón talál- 

hatók meg. A Windows Update Corporate Edition ezen verziójá- 
hoz nincs olyan kezelőfelület, amellyel több kiszolgálót egyszer- 
re kezelhetnénk. 


I. Welcome 
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5 A Windows Update Corporate Edition kiszolgáló kezelése 


A kezdőlap 

A kezelőeszközökhöz tartozó dinamikusan generált kezdőlapon 

többek között a következők jelennek meg: 

"0 Leírások új vagy frissített biztonsági frissítésekről 

0 Információk a kiadott javítócsomagokról 

-£ Információk a Windows Update Corporate Edition-höz meg- 
jelent frissítésekről 


A kiszolgáló szinkronizálása 

A Windows Update kiszolgálóról két tartalomtípus szinkronizálható: 
b Frissítési metaadatok 

B Frissítőfájlok 

A frissítési metaadatok tartalmazzák a rendelkezésre álló frissí- 
tések leírásait és a frissítések alkalmazási szabályait. A me- 
taadatok minden szinkronizálás során letöltődnek. 

A frissítőfájlok azok a fájlok, amelyek egy frissítés jóváhagyása után 
telepítődnek. Ezek leírása szerepel a metaadatok között. A rendszer- 
gazda meghatározhatja, hogy ezek a fájlok a vállalati intranetről 
vagy a nyilvános Windows Update kiszolgálókról töltődjenek-e le. 
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9 Synehronize server 
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5 A szinkronizálási oldal 


A szinkronizálás beállításai 

Két lehetőség közül választhatunk: 

b Synchronize Now (manuális szinkronizálás) 

8 Synchronization Schedule (ütemezett szinkronizálás) 

Ha a kiszolgáló úgy van beállítva, hogy a frissítőfájlok az 
intraneten tárolódnak, a szinkronizálás során a fájlok a frissíté- 
si metaadatokkal együtt szinkronizálódnak. 


A szinkronizálás folyamata 

A szinkronizálás során a vállalati Windows Update kiszolgáló a 

következő műveleteket végzi: 

Interneten keresztül csatlakozik a Microsoft nyilvános Windows 

Update szolgáltatásához, és tömörített csomag formájában le- 

tölti a legfrissebb frissítési metaadatokat. 

Ellenőrzi, hogy a letöltött csomag tartalmazza-e a Microsoft 
digitális aláírását. Ha igen, megnyitja a csomagot. Ha nem, 
a csomag törlésre kerül. 

2. Összehasonlítja az új metaadatokat a helyi adatokkal, és ki- 
válogatja az új és a frissített fájlokat. 

3. Ha egy korábbi frissítés már nem található meg a nyilvános 
Windows Update szolgáltatáson, a szinkronizálási folyamat 
azt a frissítést eltávolítja a vállalati Windows Update kiszol- 
gálóról. Így ezután a kiszolgálóhoz csatlakozó ügyfélgépek 
már nem tudják a frissítést letölteni (az ügyfelekről nem tá- 
volítja el a korábban már letöltött frissítéseket) . 

4. Ha egy korábban már letöltött fájl frissítésre került, a szink- 
ronizálási folyamat automatikusan frissíti azt. Ha korábban 
már jóváhagyásra is került, a kiszolgáló beállításai alapján 
vagy automatikusan jóváhagyódik, vagy nem. 

5. Ha a kiszolgáló úgy van beállítva, hogy a szinkronizálás a 
frissítőfájlokra is vonatkozzon, az új fájlok letöltődnek a ki- 
szolgálón korábban meghatározott helyre. 

"I Ha egy korábban már letöltött fájl nem található meg 
az intranet helyen, az újból letöltődik. 

" — Ha egy, a metaadatokban meghatározott fájl nem 
tölthető le, az ezzel kapcsolatos metaadatok törlődnek 
a jóváhagyásra váró frissítéseket tartalmazó listáról. 
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6. Ha a manuális szinkronizálás sikertelen, ez meg- 
jelenik a szinkronizálási naplóban is. Ha az üte- 
mezett szinkronizálás sikertelen, az eredetileg 
ütemezett időpont után 30 percenként a kiszol- 
gáló újra megkísérli a szinkronizálást, amíg a vég- 
rehajtás sikeres nem lesz, vagy amíg ki nem kap- 
csoljuk az ütemezést. 

A szinkronizálás után minden esetben szinkronizálási napló ké- 

szül, amely a rendszergazdai felületen keresztül tekinthető meg. 


A frissítések jóváhagyása 

Valamelyik rendszergazdának a vállalati Windows Update kiszol- 
gálóra letöltött frissítéseket jóvá kell hagynia ahhoz, hogy a ki- 
szolgáló elérhetővé tegye a hozzá csatlakozó, Automatic 
Updates ügyfelet futtató számítógépek számára. 

A jóváhagyásra az Approve Updates oldal használatával kerül sor. 


3 Microsoft Windows Update Corporate Editjon - Microsoft Internet Explorer 


le EGt Nem Favortes [po tb 


Ora - 0 HA OI Prem 3 


Approve updates 
Dove be szártez Bat es mad be 15 ézrévte tő vaz der. and Pen 49 Approve. 





Do A frissítések jóváhagyása az Approve oldalon történik 


A csomagok adatai 
Az Approve Updates oldalon a kiszolgálón megtalálható minden 
frissítés szerepel. A következő adatok tekinthetők meg: a frissítés 
neve, kiadásának dátuma, méret, a csomag állapota (most jóváha- 
gyott, nem jóváhagyott, frissített, új), rövid leírás, hivatkozás to- 
vábbi adatokhoz, megjegyzés, hogy a számítógépet újra kell-e in- 
dítani a csomag telepítése után, megjegyzés, hogy a csomag kap- 
csolatban áll-e más csomagokkal, és azoknak a Windows operációs 
rendszereknek a felsorolása, amelyekre a csomag alkalmazható. 
A felsorolás dátum, állapot (New, Approved, Not Approved, Updated, 
stb.) , Windows operációs rendszer és név szerint rendezhető. 
A Details (részletek) hivatkozással a következő adatok érhetők el: 
"0 Az aktuális csomag (.cab/.exe) neve és elérési útvonala, a 
frissítés telepítési mérete. 
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"8 A csomag telepítésekor a parancssorra küldött telepítési pa- 
raméterek. A paraméterek használatával a rendszergazda 
szükség szerint az Automatic Updates-től függetlenül, ma- 
nuálisan is telepítheti a csomagot. 

"8 A csomag által támogatott nyelvek. 

0 Egy újabb hivatkozás, amelyre kattintva a Windows Update 
Web helyszínen további információkat olvashatunk a frissítésről. 

A már jóváhagyott frissítések neve mellett a jelölőnégyzet be 

van jelölve. 

Néha egy vagy több frissítés más frissítésekkel is kapcsolatban 

áll; például a Windows Media Player egy Internet Explorer fris- 

sítéssel. Ilyenkor a kapcsolódó frissítéseket együtt kell jóvá- 
hagyni. A kapcsolatok a felhasználói felületen is láthatók. 

Ha egy más frissítéssel kapcsolatban álló frissítést jóváhagyunk, 

vagy visszavonjuk annak jóváhagyását, egy figyelmeztető üze- 

netet kapunk, melyben szerepel a kapcsolódó frissítések neve. 

Ha elvégezzük a frissítések jóváhagyását, vagy a jóváhagyás tör- 

lését, ennek megfelelően a kapcsolódó frissítés is jóváhagyódik, 

vagy annak jóváhagyása is törlődik. 

A jóváhagyott frissítések azonnal elérhetőkké válnak az ügyfél- 

számítógépek számára, bár ezek a számítógépek esetleg csak 

később töltik le őket. 

A jóvá nem hagyott frissítések nem válnak elérhetőkké a kiszol- 

gálóhoz később csatlakozó számítógépek számára. Ugyanakkor 

nincs olyan lehetőség, amellyel el lehetne távolítani a frissíté- 
seket azokról a számítógépekről, amelyek korábban már letöl- 

tötték az így eltávolított frissítéseket, vagy amelyek éppen a 

frissítés letöltését végzik. 

Minden jóváhagyással kapcsolatos feladat tárolódik a jóváha- 

gyási naplóban, amely a Windows Update Corporate Edition ke- 

zelőfelületének bal oldali ablaktábláján keresztül érhető el. 


A kiszolgálón elvégzett műveletek és a kiszolgáló állapotá- 
nak ellenőrzése 

Mivel a Windows Update Corporate Edition feladatainak nagy ré- 
sze a frissítések szinkronizálásához és jóváhagyásához kapcso- 
egy jóváhagyási naplót) tekinthet meg. A naplók a kiszolgálón 
XML fájlban tárolódnak. 

A frissítések célszámítógépeken megfigyelhető állapotáról egy 
információs oldal tájékoztatja a rendszergazdát, mivel ezek az 
adatok a RAM-ban tárolódnak és így időnként frissíteni kell őket. 


Beszerezhetőség 
A termék jelenleg nem beszerezhető. 2002. második felében je- 
lenik meg. 
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Windows 2000 IP Security 

Valószínűleg néhány évvel ezelőtt még nem tűnt annyira fontos- 
nak, hogy a hálózaton is biztonságban érezhessük adatainkat. Mi 
is magyarázhatná különben, hogy rengeteg hálózati protokollból 
alapvetően hiányoznak azok a biztonsági elemek, amelyek az ada- 
tok olvasását, eltérítését, meghamisítását megakadályozhatnák? 


A legtöbb általánosságban használt hálózati protokoll (és ez nem 
csak a Windows-ra igaz) a mai napig csak külön ügyeskedés árán 
(vagy akkor sem) képes arra, hogy a felhasználók nevét, jelsza- 
vát, vagy az átvitt adatokat védje. Sorolhatnánk a kényes proto- 
kollokat (HTTP, FTP, SMTP, POP3, IMAP4, telnet, NetBIOS SMB, 
SNMP, DNS, stb.), de talán ebből a rövid listából is látszik, hogy 
a napi munkánk során gyakorlatilag percről percre értékes infor- 
mációkat ,teregetünk" ki a hálózatra. Hiába védik például az 
NTFS jogok a cég kiszolgálóján megosztott fizetések.xls-t, ha 
egyetlen hálózatanalizátor program segítségével annak a tartal- 
mát a , dróton" is láthatjuk - mindössze azt kell kivárnunk, hogy 
a főnök egyszer megnyissa azt. 


Az IPSec protokoll 

A Windows 2000 IPSec-implementációja az Internet Engineering 
Task Force IPSec ajánlásai [1] alapján készült. A projekt egyéb- 
ként a mai napig él; tagjai jelenleg többek között azon dolgoz- 
nak, hogyan lehetne az IPSec forgalmat hálózati címfordításon 
(NAT-on) keresztül vinni (ebből máris kiderül, hogy egyelőre nem 
lehet; ez a funkció először a Windows .Net Server-ben kerül majd 
elő); illetve azon, hogyan fog működni az egész az új IP proto- 
koll, az IPv6 felett. Az IPSec nyílt ipari szabvánnyá lett, ennek 
köszönhetően ma már nem csak Windows 2000-ek, hanem IPSec- 
kompatíbilis hálózati eszközök (például routerek) között is kiala- 
kíthatunk titkosított kommunikációs csatornákat. Cikkünkben a 
Windows-Windows IPSec csatornákról lesz szó. 


Biztonsági algoritmusok 

A biztonságos, adott esetben titkosított adatátvitelhez az IPSec 

különböző kriptográfiai algoritmusokat használ: 

"b Hash funkciók (MD5, SHA1): a csomagok integritását biztosító 
algoritmusok. Az IPSec üzemmódtól függően az átvitt cso- 
magok mellé a két algoritmus valamelyikével ellenörző- 
összeget generál; ez biztosítja, hogy a csomag tartalma út- 
közben nem változhat meg. 

" Titkosítási algoritmusok (DES, 3DES): a hash funkciók csak a 
csomagok sértetlenségét biztosítják, tartalmuk ettől még 
nyilvános. Az átvitt adatokat persze titkosíthatjuk is, ehhez 
használhatjuk az 56 bites kulcsot használó DES, valamint a 
jóval erősebb, 3x56 bites kulccsal működő 3DES algoritmust. 

"b  Kulcsmenedzsment: a titkosítási kulcsban azonban a két félnek 
biztonságos módon meg kell egyeznie; a közös kulcs generálását 
a Diffie-Hellman (DH) algoritmus segítségével végezhetjük el. 

Talán látszik, hogy a konkrét, titkosított IPSec forgalom indulását 

nem kevés adminisztráció előzi meg (hogy mást ne mondjunk, pél- 

dául meg kell egyezni a használt algoritmusokban, kulcsméretekben, 
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és persze magában a titkosításhoz használt kulcsban is). Ezt a 
megállapodást nevezik Security Association-nak, röviden SA-nak. 


Azonosítási módok 

Az IPSec kommunikációban részt vevő gépek (figyelem, nem a 

felhasználók!) még a csatorna felépítése előtt kölcsönösen azo- 

nosítják egymást. A Windows háromféle azonosítási módot kínál: 

"0 Kerberos V5: a gépek azonosítása a Kerberos protokoll segít- 
ségével. Ennek feltétele, hogy a gépek mindegyike Windows 
tartományi tag legyen (mégpedig nyilván közös, egy fába tar- 
tozó, vagy egymásban bízó tartományoké). A működés érte- 
lemszerű feltétele továbbá, hogy a csatorna felépítésekor le- 
gyen elérhető, működő tartományvezérlő. 

2 Public Key Certificate: nyílt kulcsú (PKI) tanúsítvánnyal tör- 
ténő azonosítás. Ehhez a számítógépeknek kell saját PKI ta- 
núsítvánnyal rendelkezniük, mégpedig olyanokkal, amelyek 
kiadója (CA) a másik oldal megbízott kiszolgálói között (er- 
ről részletesen majd a beállításoknál lesz szó) 

"8 Pre-Shared Key: szöveges (jelszó, bár inkább jelmondat) alapú 
azonosítás, ami a kommunikáció során nyíltan nem jelentkezik, 
de az adminisztratív felületen, illetve a registryben kódolatlanul 
látható. Éppen ezért ez a módszer inkább átmeneti célokra al- 
kalmas - bár ez a legegyszerűbben munkára bírható üzemmód. 


Az IPSec házirend elemei 

Az IPSec működését meghatározó szabályrendszert IPSec házi- 

rendnek (IPSec Policy-nek) nevezzük. Az IPSec házirendet felépí- 

tő elemek a következők: 

"0 Szűrőlisták (Filter Lists): szűrőket tartalmazó listák, amelyek 
az ,elfogni" (titkosítani) kívánt hálózati kommunikációt de- 
finiálják (például feladó vagy címzett IP címe, a használt 
portcím és a csomag haladási iránya szerint) 

- Akciók: a szűrőkkel elfogott csomagokkal való tennivalókat 
határozzák meg. Akció lehet a csomag eldobása (Block), tit- 
kosítás nélküli beengedése (Permit), valamint a titkosított 
csatorna felépítése (Negotiate Security), meghatározott biz- 
tonsági paraméterek alapján 

"8 IPSec Policy objektumok: az egyes szűrőlistákat és akciókat 
összerendelő házirendobjektum; bár több IPSec Policy-t de- 
finiálhatunk, azok közül mindig csak egyet rendelünk hozzá 
(Assign) a számítógéphez 


Az IPSec házirend kezelése 

Az IPSec házirendet definiálhatjuk lokálisan (a Local Security 
Policy segítségével) és a Group Policy-n keresztül egyaránt. Mint 
minden más esetben, tartományi tag Windows 2000-ek és XP-k 
esetén a Group Policy-ben definiált beállítások (ha vannak), fe- 
tülbírálják a számítógép helyi beállításait. 


eNDB. 7. 





37 


fa 
Agtandag dI 0002 smoputm / DBSUO 


e 


13 





Windous 2000 IP Security / Biztonsá g 


14 


Description — .Pokcy Assigred 
Communicate normaly (... No 
Ej secure Server (Regre Securty) . For al1P traffic, always... No 
Ed server (Reguest Szcurty) For al1P traffic, always... No 

















Create IP Security Polcy.. 
Manage IP fiter ists and fiter acbons.... 


ANTasks . 
veve . 


Refresh 
Export Lést.. 






Help 


o Az IPSec beállításai a helyi biztonsági házirendben 


A továbbiakban a helyi biztonsági házirend beállításait használjuk 
(tartományon kívüli gépek esetén egyébként mást nem is tehetünk). 


IPSec szűrőlisták létrehozása 

A házirendek létrehozásának első lépése a szűrőlisták definiálá- 
sa. Ezeket a szűrőlistákat (és a következő fejezetben tárgyalt ak- 
ciókat) nem házirendenként, hanem azoktól függetlenül hozzuk 
létre, hogy azután a házirendek ezekből, mint építőkockákból 
táplákozzanak. Nem véletlen tehát, hogy a szűrőlisták és -akciók 
definiálására szolgáló menüpontot (, Manage IP filter lists and fil- 
ter actions") nem a ,gyárilag" létrehozott policy-k között, ha- 
nem bal oldalon, a fában az IP Security Policies sorra jobb gomb- 
bal kattintva megjelenő menüben találjuk meg. 
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Manage IP Filter Lists. ) Manage Filter actions ] 








esestb) This dialog allovis you to create and maintain the IP filter lists 
e that describe your network traffic. 
zsák 


The available IP filter lists are shared by all IP Security 





...). Description SOL EL MAGOS 
Matches all ICMP packets between this comp 
Matches all IP packets from this computer to z 









ANP Traffic 








5 A szűrőlisták párbeszédpanelje 


A szűrőlisták között két előre definiált listát is találunk: 

"0 AILICMP Traffic: minden ICMP forgalomra érvényes szűrő, a 
saját gépünk és bármely más IP cím között. Az ICMP protokollt 
a ping, tracert és egyéb diagnosztikai parancsok használják. 

"0 AILIP Traffic: minden IP hálózati forgalomra érvényes szűrő 
(kivéve technikai okokból a broadcast, multicast, Kerberos, 
RSVP és az IKE protokollt); a saját gépünk és bármely más IP 
cím között. 

Ha ezek a szűrőlisták nem eléggé specifikusak (valószínűleg nem 

lesznek azok), saját szűrőlistákat hozhatunk létre, ehhez a felso- 

rolás alatt kattintsunk az Add... gombra. Ekkor új szűrőlistát ké- 

szítünk. Adjunk nevet a szűrőlistánknak (pl. ,, Webes protokollok") , 
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majd a következő Add... gomb segítségével hozzuk létre a szűrő- 
listát alkotó szűrőket (mondjuk a TCP 80-as és 443-as porthoz). 
Minden szűrő az alábbi feltételeket tartalmazhatja: 

"8 A csomag feladójának IP címe (Source IP Address): bármely 
saját, bármely idegen, egy adott IP cím, vagy adott IP cím- 
tartomány 

A csomag címzettjének IP címe (Destination IP Address): 
mint az előző 

A csomag protokollja (Protocol type): ICMP, UDP, TCP, vagy 
bármely más IP protokoll 

A feladó port címe 

A címzett port címe 

Természetesen a protokollok, portcímek megadása nem kötelező, 
azaz definiálhatunk olyan szűrőt is, amely például két gép (IP 
cím) között mindennemű forgalomra érvényes. 


dd d d 








5 Egy szűrő tulajdonságlapja 


Vegyük észre a bal oldali ábra alján a , Mirrored..." feliratot. Az 
IPSec szűrők minden egyes csomagra külön érvényesek. Ha egy 
kétirányú kommunikációra érvényes szűrőt szeretnénk létrehozni 
(márpedig a legtöbb kommunikáció ilyen, például a böngésző és a 
webszerver között: kérés-válasz) , akkor a kimenő és bejövő csoma- 
gokra külön-külön szűrőket kellene létrehoznunk (hiszen a feladó 
IP címe akkor a címzett lesz, a portcím ugyancsak, stb.). Ezt a , fe- 
lesleges" munkát spórolja meg nekünk az IPSec: ha a , Mirrored" 
kapcsolót beállítjuk, az általunk létrehozott egy szűrő valójában 
kettő lesz (bár ez a grafikus felületen külön nem látható). 


1 MASH ÉS? 


——  ÁniP filter izt is composed of multiple fiters. In this way, multiple subnets, IP 
e addresses and protocols can be combined into one IP filtet. 


Name: 


(webes protokollok 


Desciiption: ESÉS 


HTTP. HTTPS Edít... 
Remove 





Filtets: [7 Use Add Wizard 





Souwce Pont ) Destination Port " Source DNS Name 
cMyIP Addtessz 
AMyIP Addtesss 


Mirored ! Desciplion ! Protocol 
Yes —— HITPBO TCP ANY 80 
Yes HTTPS443 TCP ANY 443 
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a Az általunk létrehozott szűrőlista, benne két tükrözött 
(azaz összesen négy) szűrővel 


Az ábrán láthatjuk, hogy az egyes szűrőknek saját ,nevet" ad- 
tunk (a Description oszlopban: HTTP 80, HTTPS 443). Ezt az érté- 
ket a szűrő tulajdonságlapjának - előbb be nem mutatott - Des- 
cription oldalán lehet megadni, és érdemes is kitölteni, mert a 
szűrő neve később megkönnyíti a diagnosztikai munkát (külön- 
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ben csak NoName szűrőkkel dolgozunk és az megnehezítheti a szű- 
rő azonosítását). 


Szűrőakciók kezelése 

A következő kérdés az, hogy mi történjen a szűrőlistákkal kihalá- 
szott csomagokkal. Ezt mindig a házirendben az adott szűrőlistá- 
hoz rendelt szűrőakció határozza meg. Következő dolgunk tehát a 
megfelelő szűrőakciók létrehozása. Ehhez a , Manage IP filter lists 
and filter actions" párbeszédpanel második oldalára kattintsunk: 


Manage IP: filter Usts and! filter actions 


Manage IP Filter Lists.. Manage Filter Actions ] 


X 


This dialog allows you to create and maintain the filter actions 
that describe the security of your network. 


The available filter actions are shared by all IP Security 
policies. 


Filter Actions: 

Name 
Permit 
Reguest Security (Optional) 
Reguire Security 





!. Description Í 
Permit unsecured IP packets to ... 
Accepts unsecured communicati... 
Accepts unsecured communicati... 


Remove 


Add... Edit. 


[7 Use Add Wizard 





5 A szűrőakciók párbeszédpanelje 


A szűrőlistákhoz hasonlóan itt is találunk néhány , gyárilag" de- 
finiált szűrőakciót: 
"8 Permit: titkosítás nélküli forgalom engedélyezése 
b Reguest Security (Optional): titkosított csatorna felépítése 
az alapértelmezett beállításokkal, vagy ha ez nem sikerül, 
kommunikáció titkosítatlanul 
8 Reguire Security: titkosított csatorna felépítése az alapértel- 
mezett beállításokkal, vagy ha ez nem sikerül, a csomag el- 
dobása 
Nincs előre létrehozva, de definiálható olyan akció is (Block), ami 
a csomagok minden további nélküli eldobását jelenti. Próbakép- 
pen hozzunk létre egy ilyen akciót: kattintsunk az Add gombra, 
erre elindul a Filter Action Wizard. Adjunk egy hangzatos nevet 
az akciónknak (például: Block), majd a Filter Action General 
Options oldalon válasszuk a Block akciót. Ezzel készen is vagyunk. 
Talán sejti már az Olvasó, hogy a komolyabb kihívást a titkosí- 
tott csatorna kiépítésére vonatkozó beállítások megadása jelen- 
ti. Definiáljunk egy ilyen szűrőakciót, és a varázsló segítségével 
haladjunk végig a beállításokon. Kattintsunk tehát a szűrőakciók 
listája alatt újra az Add... gombra, majd az akciónknak adjuk a 
Security 17 nevet. A Filter Action General Options oldalon ezút- 
tal válasszuk a ,Negotiate security:" (biztonságos csatorna kez- 
deményezése) opciót. 
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Fail back to clear" 

A varázsló következő oldalán megjelenő kérdés azt 
firtatja, hogy mi történjen akkor, ha mi ugyan meg- 
próbáltuk a titkosított csatorna kiépítését, de az bár- 
milyen probléma miatt nem sikerült: 


Filter Action Wizard, 


Communicating with computers that do not support IPSec 
Communicating with computers that do not support IPSec may expose your 
network tó securly risks. 


Do you want to allow communication with computers the do not support IPSec? 


C Fallback to unsecured communication. 


Use this option if there are computers that do not support IPSec on your network. 
Communication vith computers that do not support IPSec may expose your network 
10 seculy risks. 





5 Mi történjen, ha a , túloldal" nem tud IPSec-ül? 


"5 ,Do not communicate... .": ha nincs IPSec, nincs kommunikáció 
A ,Fail back to unsecured communication": ha nem sikerül 
IPSec-kel, a kommunikáció titkosítatlanul folytatódik 

Ez utóbbi opciót választva a csomag végül titkosítatlanul jut el a 
címzetthez, ezért ez nyilvánvaló biztonsági problémákat vethet 
fel. Cserébe viszont akkor sem veszítjük el a kapcsolatot a külvi- 
lággal, ha az IPSec valami miatt nem tért magához. A titkosítat- 
lan kommunikáció során egyébként az IPSec alrendszer adott idő- 
közönként (lásd később) újra megpróbálkozik a titkosított csator- 
na felépítésével, és ha sikerült, át is tér annak használatára. 


A biztonsági algoritmusok 

A következő oldalon nyilatkoznunk kell a használni kívánt bizton- 
sági algoritmusokról. Tudatosan nem titkosítási algoritmust írtam, 
ugyanis az IPSec-nek van olyan üzemmódja is, amikor a csomagok 
tartalmát nem titkosítjuk, csak azok sértetlenségét garantáljuk. 





INGET ZEZT 


IP Traffic Security 
Specily a security method for IP traffic. To add mukiple security methods, edít the 
filet action altez completing the wizard, 


This filter action reguires at least one security method for IP traffic. 


C Encryption and integrity 
Data will be enciypted, authenticated, and unmodiíied. 


€ integrity only 

Data wil be authentic and unmodífied, but will not be encrypted. 
c utam] 

Settings... 





5 A szűrőakció biztonsági metódusai 


A választható lehetőségek: 

8 Encryption and Integrity (Windows 2000-en: High): a csomagok 
titkosítása az alapértelmezett beállítások szerint - az IPSec az 
ESP (Encapsulated Secure Payload) protokollt használja majd 

"2 Integrity only (Windows 2000-en: Medium): csak integritás- 
ellenőrzés, titkosítás nélkül - a használt protokoll ekkor az 
AH (Authenticated Header) lesz 

8 Custom: testreszabott beállítások 


008. ÜT. 


1zTA 


katansog dI 0002 snopurn / DESUO 


; 


15 


1bh 





ecurityzmethod Settings 


ne settings for this custom security method, 
Jata and address integrity without enciyption (AH) : 
integrity algoríthmi 


MD5 v 


[7 Data integrity and enciyption (ESP): 
Integrity algorithm: 


SHAT y 


Enciyption algorithm: 


3DES S 


Ezdn key settingsz 
IT Generate a new key every: IT Generate a new key every 


seconds 


a Testreszabott biztonsági paraméterek 


A testreszabás során meghatározhatjuk a használni kívánt proto- 
kollt (ESP esetén nincs értelme külön az AH-t is bekapcsolni, mert 
az ESP - mint láthatjuk — önmaga is tartalmaz integritás-ellenőr- 
zést), a titkosítás biztonsági algoritmusait, sőt, még a szakasz- 
kulcsok újragenerálásának küszöbértékeit is módosíthatjuk. (Az 
alapértelmezés szerint új titkosítási kulcs készül minden 100 me- 
gabájt, illetve 60 perc kommunikáció után). 


A szűrőakció tulajdonságlapja 

A varázsló ezután befejezi a munkáját és létrehozza a szűrőak- 
ciót. A további beállításokhoz válasszuk ki a listából a kívánt ak- 
ciót, majd kattintsunk az Edit... gombra. 


Szuez 5 J3 az: 
Security Methods ] General) 


€C Permit 
C Block 
(7 Negotiate security: 


Security method preference order: 





o A varázsló által beállított biztonsági paraméterek 
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Láthatjuk, hogy a biztonsági paraméterek listájában az az egy 
sor szerepel, amit a varázsló futtatása során megadtunk. Itt to- 
vábbi beállításcsomagokat hozhatunk létre arra az esetre, ha a 
túloldal" valamilyen oknál fogva az elsődleges titkosítási beál- 
lításokat nem tudná teljesíteni (például mert nem képes 3DES tit- 
kosításra, satöbbi). Az Add... gomb megnyomására megjelenő 
dialógusablak teljesen hasonló a varázslóban már látottakkal. 


(ala 


Security: d Properties 
Security Methods ] General] 


€ Permit 

C Block 

(s Negotiate security: 

Security method preference order: 

Type [AH Integíty — ] ESP Con...) ESP Int 











Enciyption... . £Nones 3DES SHA1 

Custom cNones 3DES MD5 Edit... 

Custom cNone; DES SHAT 

Custom cNones DES MD5 Remove 
Move up 

ele már SEGGÉBE T tá) 2 h n 


[7 4ccept unsecured communication, but always respond using IPSec 
TT állove unsecured communication with nondPSec-aware computer 
TT Session key perfect forward secrecy (PFS) 








OK Cancel Apply 


5 Testreszabott biztonsági paraméterek 


Ha egynél több biztonsági metódust definiáltunk, azok sorrend- 
jét a Move up/down gombok segítségével módosíthatjuk is. Ha a 
listában felülre kerülnek a legerősebb titkosítást jelentő beállí- 
tások, majd a titkosítási szint lefelé haladva egyre gyengül, biz- 
tosak lehetünk benne, hogy a csatorna felépítése során a lehető 
legbiztonságosabb beállítások fognak érvényesülni. 


Folytatjuk... 


Fülöp Miklós 
mick netacademia.net 
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Ritkán megjelenő kriptográfia-sorozatomban a tavaly decemberi nyílt kulcsú titkosítás 
(RSA-algoritmus) után most a szimmetrikus titkosítások legelterjedtebb képviselőjét, 

a DES (Digital Encryption Standard) eljárást nézzük meg értő szemmel. Mire a cikk végére 
érünk, mindenki tudni fogja, miként működik egy szubsztitúciós-permutációs hálót 


használó, CBC módú Feistel-cipher. 


Messziről szeretném felvezetni a DES-t, mert korántsem olyan 
tiszta eljárás, mint az RSA. Sőt, első ránézésre kifejezetten zava- 
ros. Ez talán nem is meglepő, ha figyelembe vesszük, hogy pont 
erre, adatok összezavarására hozták létre. Az IBM saját, Lucifer 
nevű eljárásának továbbfejlesztéseként a múlt század 70-es évei- 
nek elején, az NSA-val karöltve (National Security Agency) kez- 
dett a fejlesztésébe, s később (1977-ben) az ANSI szabványtes- 
tület X9.32 sorszámmal lajstromba is vette. A fejlesztés alapjául 
szolgáló Lucifer rendszert Feistel dolgozta ki, s 1974-ben szaba- 
dalmaztatta az IBM. Mára a DES összes szabadalma lejárt. 
Leírásomban itt-ott kitérek a kriptoanalízis (kódvisszafejtés) 
egy-egy módszerére is, hogy lássuk, mi ellen is kell védekeznünk. 
A DES használatát húsz évig támogatta az USA kormányzata, s 
csak az után mondtak le róla, hogy napjaink PC-ivel kevesebb, 
mint egy nap alatt fel lehet törni. Nem matematikai trükk, ha- 
nem az idő törte meg: 64 bites (a paritásbitek miatt valójában 
56 bites) kulcshosszúságával ma már nyers erővel (brute force) 
is ,vígan" törhető, hisz mit nekünk 255 darab próbálkozás! 


Kriptoanalízis I. - brute force. A lehetséges titkosítási válto- 
zatok, az összes kulcs végigpróbálása. A kulcshossz növelésével 
ez a feltörési módszer egyre több és több időt vesz igénybe, bár 
láttuk: ami a 70-es években lehetetlen feladatnak tűnt, azt ma 
már asztali PC-vel lazán megoldjuk. 


Ennek ellenére továbbra is ő a szimmetrikus titkosítások legjob- 
bika, leszármazottait (DESX és 3DES) használjuk napjaink titko- 
sítási feladataira. (Ha például megnézzünk az IPSec beállítási le- 
hetőségeit, DES és 3DES szimmetrikus algoritmusok közül választ- 
hatunk - más nincs is!) 

Elsőként szögezzük le: a komoly titkosítási eljárások mindegyi- 
kének, így a DES-nek is nyilvános az algoritmusa, a titkosító 
programkód ismerete nem elég a titkosítás feltöréséhez. Kell 
egy kulcs is. Minden olyan titkosítás, melynek nem hozzák nyil- 
vánosságra a kódját, a saját sírjába esik bele abban a pillanat- 
ban, hogy kereskedelmi forgalomba kerül, mert teljesen bizo- 
nyos, hogy valaki visszafejti a gépi kódot. így járt például a 
LanMan , titkosítás" (hash), melybe mindenféle ravasz(nak hitt) 
csűrcsavar, magic number került. Disassembler segítségével 
minden tekervény kibogozható, s az algoritmus meztelenül áll 
előttünk. Az algoritmus eltitkolására épített biztonsági megol- 
dások előbb-utóbb egy az egyben szemétdombra kerülnek. 

S most lássunk néhány titkosítási módszert, hogy megértsük, 
miért azt csinálja a DES, amit. Az egyszerűség kedvéért egyelő- 
re szöveges üzenetek kódolásában gondolkodjunk, és tegyünk 
úgy, mintha az ABC 26 betűből állna (az angol ABC annyiból 
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áll). Kétféle titkosítási elvet nézünk meg, a helyettesítő 
(szubsztitúciós) és a csereberélő (permutáló) titkosítást. 


1. Helyettesítő titkosítási módszerek 

A DES megértéséhez érdekes módon Julius Caesarig kell vissza- 
mennünk az időben. A legenda szerint ő találta fel az egyszerű el- 
tolásos titkosírást, ahol a rejtjelezett szöveget az ABC-ben né- 
hány betűvel eltolva írták le. Ez akkoriban elegendőnek bizonyult, 
a futár útközben amúgy is csupa írástudatlannal találkozhatott. 
Az eltolásos módszer hátránya, hogy az első néhány betű kitalá- 
lása után a többi adja magát, a ,rejtjelezés" szinte magától ki- 
nyílik. A ,brute force" módszer is csak 25 változat végigpróbálá- 
sát igényli, hisz maximum 25 karakterrel tolható el minden betű. 
Ez a probléma 1500 éven keresztül senkit sem zavart. A felvilágo- 
sodás korában azonban, ahogy egyre több írástudó élőlény jelent 
meg az evolúció sodrában, felmerült az eredeti, római titkosítás bo- 
nyolításának gondolata, hogy mégse minden jöttment legyen ké- 
pes titkosírást visszafejteni. Megszületett az a helyettesítéses mód- 
szer, melynek lényege egy , alternatív" ABC használata. Röviden 
szólva: egy táblázat alapján minden betűt kicserélünk egy másikra. 
Az alábbi táblázat a második sorában egy ilyen alternatív ABC-t tar- 
talmaz. Titkosításkor az eredeti szöveg minden betűjét kicseréljük 
a táblázatban alatta találhatóra. Így lesz a HIBA szóból OZTO. 
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5 Alternatív ABC-s, helyettesítő titkosítás 





















































Julius Caesar titkosításának még csak 26 kulcsa volt. ABC-helyet- 
tesítő táblázatból viszont már 26! (faktoriális) készíthető, így a 
kulcsok száma 403291461126605635584000000. (Hotta kedvéért 
nevezzük nevén: 26! darab permutációja létezik az angol ABC-nek.) 
Ennek nem érdemes nyers erővel nekimenni. Ma persze semmit 
sem érne ez a fajta ,titkosítás", mert statisztikai módszerekkel 
két másodperc alatt kideríthető, melyik betű minek felel meg. 


Kriptoanalízis II. - gyakoriságfüggvények. Minden titkosítási 
módszer, mely megőrzi az eredeti betűk gyakoriságát, hihetet- 
lenül hirtelen feltörhető. Ennek az az oka, hogy az egyes nyel- 
vekben a betűk előfordulási gyakorisága szinte változatlan. Hiá- 
ba írunk minden E helyett 5-et, ha a titkosított szövegben hem- 
zseg az S, tudhatjuk, hogy az az E betűt jelöli. Nem is beszélve 
a gyakori betűkapcsolatokról: AZ, CS, SZ, ÉS. Ezek segítségével 
további betűket kapunk, és szép lassan összeáll a teljes szöveg, 
akár egy keresztrejtvény megfejtése. 
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5 Az angol nyelv gyakoriságfüggvénye 


Az Enigma 

A következő nagy ugrás a második világháború alatt következett 
be. Ebben a háborúban a rádió vált az elsődleges kommuniká- 
ciós, csapatirányító technológiává. Nem sokra megyünk füstje- 
lekkel és zászlólengetéssel, ha az irányítani kívánt hajó éppen 
kétszáz méterrel a tenger szintje alatt található. A rádiójeleknek 
azonban van egy nemkívánatos tulajdonságuk: irányíthatatla- 
nok. Az adás sajnos , publikus". Kézenfekvő a megoldás: titkosí- 
tani kell a mondanivalót! Igen ám, de hogyan? 

Olyan titkosításra van szükség, mely nem őrzi meg az eredeti 
szöveg betűinek eloszlását! A XX. Század elején született, , for- 
gótáras" titkosítógépek utódja az Enigma, mely kereskedelmi 
forgalomban is kapható volt! A működés lényege röviden a kö- 
vetkező: a rejtjelezés során minden egyes betűre más-más al- 
ternatív ABC-t használunk! Vagy más megközelítésben: Julius 
Caesar módszerét úgy fejlesztjük tovább, hogy minden egyes be- 
tűt más-más mértékben tolunk el az ABC-ben. A titkosítás kulcsa 
tehát egy eltolási számsor, például: --5, -8, 411, --4, -14, 46 stb. 
Tehát az üzenet első betűjét öttel előretoljuk, a másodikat az 
ABC-ben nyolccal előtte lévővel helyettesítjük stb. Láthatjuk, 
hogy ez a titkosítás eltörli az eredeti betűk gyakoriságát, hisz a 
számsor kényének engedelmeskedve akár minden E betű külön- 
böző cserebetűkre képeződik le. Ha jó a titkosítóalgoritmus, az 
eltolási számsor véletlenszerű, és ismétlődéseket nem tartalmaz. 
Mi tehát az Enigma? Egy véletlenszám-generátor! Egészen pon- 
tosan pszeudo-véletlen-generátor, egy alapállapotból mindig 
ugyanazokat az eltolási számokat sorolja fel. Ez a tulajdonság a 
visszafejtéshez is nélkülözhetetlen. A titkosítás menete a követ- 
kező: az adó és a vevő megállapodnak saját titkosítómasináik 
alapállásában (három ABC-tárcsa és néhány banándugó beállítá- 
sában), majd tekerik a kart, és az Enigma minden bemeneti ka- 
raktert más-más eltolással ad vissza. 

A németek éveken át sikeresen használták az Enigmát, mivel 
amint tudomásukra jutott, hogy az ellenség képes feltörni a tit- 
kosítást, mindig változtattak rajta valamit (plusz egy tárcsa stb.). 
Valahányszor a lengyel (még Lengyelország lerohanása előtt), 
vagy a brit kódtörők eredményre jutottak az Enigma ellen, 
mindannyiszor rendelkezésükre állt egy falatka eredeti szöveg, s 
annak titkosított változata. Ebből ki tudták találni, hogy milyen 
indítóállapota lehetett a gépnek, s így az üzenet egészét is el 
tudták olvasni. Sőt, mivel a németek naponta csak egyszer dug- 
dosták át a banándugókat, aznap minden üzenetet képesek vol- 
tak dekódolni. Volt időszak (1939, ha jól tudom) , amikor a len- 
gyelek 859o-os sikerrel olvasták a németek adásait. 


Kriptoanalízis III. - ismert szöveg megfejtése. Ez a módszer 
a brute force (nyers erő) alesete. Ha van egy hosszú titkosított 
szövegünk, melyből bizonyos részeket ismerünk, az ismert ada- 
tok birtokában megállapítható a kulcs. Egyszerű: ha tudom, mi- 
nek kell kijönnie, addig próbálkozom a kulcsokkal, amíg célt 
nem érek. S ha megvan a kulcs...! 
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Az Enigma első megbuktatásában jelentős szerepe volt a német 
nyelvnek, melyben hemzseg az EIN betűkapcsolat. (főnevek: Eins- 
tein, Rosenstein stb, és ein, mint szám). A lengyelek készítettek 
egy 150 ezer elemű EIN-szótárat, és a lehallgatott szöveg minden 
tripletjét összevetették az előre kikódolt változatokkal. Ennyire 
egyszerű. Csakhogy akkor még nem volt számítógép! Puszta kéz- 
zel csinálták! Az Enigma teljes története az [1] címen olvasható. 


...vissza a jelenbe 

De mi köze ennek a DES-hez? Minek ismerni ezeket az ősi, 
csotrogány titkosítási módszereket? Egyszerű a válasz: mert a 
DES ezekből a módszerekből építkezik. Igenis használ egyszerű 
helyettesítéseket. Az úgynevezett S dobozok valójában alterna- 
tív ABC-k! Lásd később! 

vissza a múltba... 


2. Csereberélő (transzpozíciós, permutáló) titkosítási módszerek 
Julius Caesarnak volt mégegy titkosítási módszere: a betűk sor- 
rendjének összekavarása. Az elsőt felcseréljük a hetedikkel, a 
negyedikből lesz az első stb. Ehhez segédtáblázatokat kellett 
készíteni, melyek megmutatták a betűkeverés menetét. Az aláb- 
bi ábrán a TITKOS szót titkosítjuk: 


T 


01 A ő MD 
0 RWDEE 
—-— 0 XdAdIÁádO 


0 O X ad 
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5 Permutációs titkosításhoz készített segédtábla 


Hat karakteres szavak 6! - 720 féleképpen titkosíthatók, a fen- 
ti háló tehát egy a 720 féle kulcs közül. E titkosítás kulcsa az 
adott permutációs táblázat, amit így is ábrázolhatunk: 


1 [2 13 ]4 15 16 
a le "2 Já Hi 15 


Vagy még rövidebben: 3,6,2,4,1,5. Ha ebben a sorrendben olvas- 
suk a titkosított üzenet betűit, az eredeti szöveget kapjuk vissza. 
Erre a számsorra kell emlékezni, amit Julius Caesar különböző 
trükkös versikék, aforizmák bemagolásával tett elviselhetőbbé fu- 
tárai számára. (Tehát a futár egy titkosított üzenetet és egy versi- 
két vitt magával. Csak arra kellett ügyelni, hogy a futár ne tudja a 
versike értelmét, így az ellenség sem tudta kiverni belőle a kulcsot.) 




















Block cipher, stream cipher 

A helyettesítő módszerek (Enigma és társai) az úgynevezett 
stream, vagy folytonos titkosítások közé tartoznak, mert a tit- 
kosítandó szöveget folytonosan, betűről betűre (vagy akár bit- 
ről bitre) dolgozzák fel, s az algoritmus a végtelenségig futhat. 
A sorrend-cserebere, vagy permutáló módszerek azonban nem 
értelmezhetők végtelen hosszúságú szövegeken. A feladat el- 
végzéséhez tudnunk kell, hogy hány betűnk lesz, vagy ha nem 
tudjuk, a szöveget fel kell tördelnünk adott méretű blokkokra. 
A DES úgynevezett blokktitkosítás (a blokkméret 64 bit), tehát 
feltehetőleg van benne cserebere. Van bizony! 
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Összetett titkosítások 

Bármilyen gyatrának tűnnek az eddig felsorolt módszerek, e két 
forma közül válaszhatunk. Vagy ABC-n belüli (helyettesítés), 
vagy szövegen belüli (transzpozíció) permutációt alkalmazunk. A 
DES tervezői a következő feltételezéssel éltek: ha több, egyen- 
ként gyenge titkosítást egymás mögé fűzünk, az eredmény egy 
sokkal erősebb titkosítás lesz. Okosan megtervezett esetben. Ha 
ugyanis egy -42-es szubsztitúció után csatolunk egy -2-est, nem- 
hogy erősödne a titkosítás, hanem megszűnik. Az egymást gyen- 
gítő láncok elleni védekezés jegyében a DES-ben felfűzött, egy- 
más után álló titkosítások különböző típusúak. Nevezzük nevén: 
a DES egy szubsztitúciós-permutációs hálózat, amely felváltva 
helyettesíti, majd csereberéli a ,betűket" (a DES bináris titkosí- 
tás, tehát bitekkel dolgozik). Az alábbi ábrán az S-sel jelölt do- 
bozok az inputon rém egyszerű helyettesítést végeznek, a P-vel 
jelölt tégalalpok pedig összekeverik az egyes bájtok pozícióit. 
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0 Szubsztitúciós-permutációs hálózat 


Egyszerű nemde? Ha ezt Julius Caesar látná! Az S-helyettesítések 
és a P-permutáció kötött táblázatok alapján történnek (nyolc da- 
rab §-box és egy P-táblázat) , hogy a DES minél könnyebben hard- 
verre ültethető legyen. S hogy az egyenként elégtelen kódolások- 
ból mégiscsak erős titkosítás szülessen, a DES 16-szor végzi el 
egymás után az - egyébként egyforma - S és P lépéseket. 

Hopp! De hol jön be a képbe a titkosítási kulcs? A permutáció 
bemutatásánál szóbakerült, hogy a kulcs nem más, mint egy 
adott permutációs táblázat (a lehetséges kismillió közül) , amit a 
futár versikében megtanult. Itt viszont egyetlen, kötött permu- 
tációs táblázattal van dolgunk, ha tetszik, ha nem, ezt a táb- 
lázatot használja a P lépés: 
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5 A DES permutációs táblája. Erre alkoss versikét! 
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E közül az egyetlen táblázat közül egyféleképpen le- 
het választani: ezt választom! Itt kulcsnak helye 
nincs. Akkor talán a helyettesítésnél? , Végtelen" 
számú helyettesítés közül választunk? Megintcsak: 
nem! A DES-nek nyolc darab S-boxa, helyettesítési táblá- 
zata van, amelyek az S-P hálózati ábrának megfelelően kötött 
pozíción tanyáznak. Ezek közül sem lehet válogatni. A végén ki- 
sül, hogy a DES-hez nem is kell kulcs! És valóban. A DES elke- 
tyegne kulcs nélkül, csak ebben az esetben mindig ugyanazt csi- 
nálná, így nem lenne nehéz , feltörni". 


Kell egy kulcs! 

Sajnos bele kell rondítanunk a DES eddig levezetett gyönyörűen 
primitív képébe, mert kulcs nélkül olyan algoritmus lenne, ami 
ha nyilvánosságra kerül, már ki is dobhatjuk. Érdekes, hogy va- 
lahogy a fejlesztők is úgy viszonyultak a kulcskérdéshez, hogy 
szinte fájt nekik, s ez meg is látszik a dizájnon - de ez semmit 
sem von le a kulcs értékéből. 

A szép és logikus modell érintetlenül hagyásával úgy tehető 
kulcsfüggővé a működés, ha valahol a ciklusok között , belemo- 
sunk" némi idegen, külső adatot is a folyamatba, vagy más szó- 
val: ,megfűszerezzük" (hivatalosan saltnak, sózásnak nevezik) az 
amúgy ízetlen algoritmust. S hogy ez ne tegye tönkre csodála- 
tos, egyértelmű szubsztitúcióinkat és permutációinkat, olyan 
módon kell , beledolgoznunk" a , fűszert", hogy mégiscsak le le- 
hessen vakarni róla, ha muszáj. Márpedig kibontáskor muszáj 
lesz, mert különben nem az eredeti adatokat kapjuk vissza, ha- 
nem egy fűszeres adattrutymót. 

Vajon hogyan lehet egyik adat hátára úgy ráültetni egy másikat, 
hogy később le lehessen szedni onnan? XOR függvénnyel! 

A DES bemeneti 64 bites kulcsából (mely sajnos 8 paritásbitet 
tartalmaz, tehát 56 hasznos bitből áll) 16 darab, egyenként 48 
bites kiskulcs születik, mely a 16 körös szubsztitúció-permutá- 
ció közé ékelődve fokozatosan , beleivódik" az adatba. Kibon- 
táskor, miközben visszafelé permutálunk és helyettesítgetünk 
ugyanezeket a kiskulcsokat , lexoroljuk" az adatról. 

Itt valami nem stimmel. A 48 bites kiskulcsok mérete ugyanis 
nem egyezik meg a bemeneti 64 bites adathalmaz méretével! 


A DES egy lépése részletesen 

A DES a bemenő adatblokkot kétszer 32 bitre bontja (bal és 
jobb). Az egyes fordulókban a jobb blokk következő tartalma ke- 
mény munkával áll elő (S és P, mind a bal, mind a jobb blokk 
adatai alapján) , míg a bal blokk lustán felveszi a jobb blokk elő- 
ző értékét. Az alábbi ábra egy DES ciklust mutat, ilyenből 16 kö- 
veti egymást. LO és RO a bal és jobb blokk kiindulási állapota, 
L1 és R1 pedig - értelemszerűen - a forduló eredménye. Leol- 
vasható, amint a jobb oldal (RO) átfut egy fekete dobozon (ez 
a 5§-P lépés, maga a titkosítás), amit felülről egy 48 bites 
kiskulcs (K2) fűszerez. A dobozból kilépő adat összexorolódik az 
LO-val, és ez lesz a jobb oldal következő kiindulási állapota. L1 
pedig egyszerűen RO-ból táplálkozik. 
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5 A 16 egyforma DES lépés menete. Itt a piros, hol a piros? 


Jól jegyezzük meg a fenti sémát: ez Feistel találmánya (IBM sza- 
badalom: 1974 március 19.)! A fekete doboz szabadon cserélhető 
az eljárásban. A Feistel-típusú blokktitkosítások mindegyike erre a 
blokkfelezős, itt a piros, hol a piros megoldásra épül, ezt hajtja 
végre ciklikusan. Már csak a fekete doboz felderítése van hátra. 
Vajon hogy fűszerezünk 32 bites adatokat 48 bites kiskulccsal? 
Hát úgy, hogy mielőtt XOR-ra kerülne a sor, a 32 bites adatot 
48 bitesre pumpáljuk! Az alábbi ábra mutatja a fekete doboz 
belső működését: 
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8X4bit 
Kiterjesztés (E) 
8X6bit 


Kulcs 


5 A DES működése bitszinten 


A változatosság kedvéért a 32 bitről 48 bitre pumpálást is egy 
kötött táblázat segítségével végzik. Az E (expanzió) táblázat is 
publikus, nem valami látványos, de így fest: 
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5 DES expanziós táblázat a 48 bites átalakításhoz 


Miután az adat felfúvódott, hozzáxoroljuk a 48 bites kiskulcsot, majd 
a - szintén kötött táblázatos - 5-boxok segítségével egyszerű helyet- 
tesítést végzünk rajta. Ebben a lépésben az adathossz visszacsökken 
32 bitre. Ezután a P-táblázat segítségével permutálunk egy jóízűt. 
Érdekes, hogy bármit is kavartunk idáig, az mind reverzibilis, 
visszafordítható! Mind az S, P, mind az E táblázatok úgy vannak 
kialakítva, hogy a folyamat megfordítható legyen, hiszen a tit- 
kosítás megszüntetésekor ugyanezeken a lépéseken visszafelé is 
végig kell tudni menni. 


Emlékező titkosítások 

A blokktitkosítások mindegyike könnyebben törhető, ha a titko- 
sított adatfolyam blokkjai között nincs összefüggés, minden 
blokk kibontása csakis önmagától és a kulcstól függ. A függet- 
len blokkok előnyt jelentenek, ha az adatátviteli közeg zajos, 
sokszor hibázik, mert egy-egy blokk elvesztése nem teszi lehe- 
tetlenné a titokzatos adatok maradékának kibontását. Máskép- 
pen fogalmazva: az algoritmus nem , emlékszik" korábbi hibákra. 
Biztonsági szempontból azonban ez a megoldás kívánnivalókat 
hagy maga után. Egyrészt ez annyit jelentene, hogy ugyanazzal a 
kulccsal ugyanazt az ismétlődő mintát titkosítva a titkosított adat- 
halmazon is felismerhetők lennének az ismétlődő minták. (Ez volt 
az Enigma hibája, emlékezzünk, EIN-eket lehetett keresni benne, mi- 
vel minden karakter önállóan kódolódott. Az Enigmának ilyennek kel- 
lett lennie.) Másrészt szinte tálcán kínálja a titkosított adathalmaz 
részeinek lecserélését, mert úgysem veszi észre senki. Ha az adat- 
folyam például egy banki átutalás, meg lehetne próbálni a kényes 
pontokon átfirkantani, hátha sikerül jó nagy kalamajkát okozni. 
Napjaink hálózatai vagy egyáltalán nem hibáznak, vagy ha igen, 
azt észrevétlenül, a háttérben korrigálja a TCP/IP. Ilyen megbíz- 
hatóságú közegben érdemes élni a blokkok összefűzésének lehe- 
tőségével, mert ugyan a hibák ,emlékezetessé" válnak, de egye- 
di blokkokat többé nem lehet átírni a folyamban, és nincs értel- 
me töredékeken kriptoanalízist folytatni. A blokktitkosításoknál 
leggyakrabban bevetett láncolási módszer a CBC (Cipher Block 
Chaining, titkosított blokkok felfűzése). 


CBC 

Egyszer már felmerült a kérdés: hogyan lehet egy adathalmaz 
hátára feltenni egy másik adathalmazt, hogy az később levakar- 
ható legyen? XOR-ral! Nem meglepő tehát, hogy a CBC az egyes 
DES blokkokat xorolással viszi rá a következőre, s ezzel egyfelől 
függőséget teremt a blokkok között, másfelől lehetetlenné teszi 
ismétlődő minták felismerését. Az alábbi ábra a CBC sematikus 


L 
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vázlata, bal oldalon a titkosítással, jobbra a visszafejtéssel. 

Amint leolvasható, a folyamat során az éppen következő beme- 

nő blokkot még a titkosítás előtt összexoroljuk az előző blokk 

titkosított változatával. Majd jöhet a Feistel-ciklus, melynek ki- 

menete a következő inputblokkhoz xorolódik - és így tovább. A 

CBC beindításához kell egy nulladik blokk, ami a legelső input- 

blokkhoz xorolódik, ezt reprezentálja a CO (nulladik cipherblock). 

Kibontás: 

1. a kulccsal kinyitjuk a legelső blokkot, ezután lexoroljuk a 
hátáról CO-t: kész az első kibontott blokk 

2. a kulccsal kinyitjuk a második blokkot, és lexoroljuk róla a 
legelső blokk titkosított változatát 

3. és így tovább. 

C0 akármi lehet, titkosnak sem kell lennie, mert a DES kulcs nél- 

kül úgysem lehet levakarni a legelső blokkról. E nélkül pedig a 

lánc sem fejthető vissza. 
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5 CBC láncolás a DES alatt 


Ennyi volt a DES. Máshol fél évnyi tananyag, nálunk négy és fél 
újságoldal. Remélem nem volt túl nehéz. Egy-két dolgot elna- 
gyoltam (az 5-boxot megválasztásának matekját, a kiskulcsok ge- 
nerálását) de ezek már nem szükségesek a folyamat megértésé- 
hez. Remélem most már elhiszik, amit sok-sok matematikus ál- 
lt: a DES feltörésének egyetlen biztos módja a nyers erő. Van- 
nak ugyan gyenge pontok az algoritmusban, de ezek többnyire 
gyenge kulcsokra vezethetők vissza. A DES-nek négy olyan kul- 
csa van, mely egyáltalán nem titkosít, s néhány tucat gyenge 
kulcsról is tudunk. A többi egyelőre ellenáll a matematikusok- 
nak is. Apropó visszafejtés! 


Kriptoanalízis IV. - redundanciaalapú megközelítés. Nyers erő, 
nyers erő, de mit keresünk? Csak próbálgatjuk sorban a DES kulcso- 
kat, hátha az egyik nyitja az adathalmazt - de honnan tudjuk, hogy 
megvan, amit keresünk? Másodpercenként akár tízezer DES-nyitást 
is könnyű kivitelezni, de ki mondja meg a programnak, hogy mikor 
találta meg a valódi kulcsot? Itt két módszer kívánkozik: 
"8 ha ismerjük a titkosított adatok szerkezetét (pl. egy képfájl) , 
utasíthatjuk a brute-force programot, hogy álljon meg, ha 
felismerhető képformátum lett a kibontás eredménye 
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"8 ha nem ismerjük a szerkezetét, keressünk benne 
rejtett redundanciát! Ha szöveget (pl. html la- 
pot) titkosítottak, az írás karakterei között nem 
lelhetők fel bizonyos jelek, például a hexa 30 alat- 
tiak. Utasítsuk a brute-force programot, hogy álljon 
meg, ha olyan visszafejtést talált, amiben viszonylag kevés 
hexa 30 alatti karakter van: megvan a html doksi! Ennél 
még egyszerűbb a Base64 kódolású adatok brute-force meg- 
találása: ha a visszafejtett szöveg csak az angol ABC kis-és 
nagybetűit tartalmazza, nyertünk! 


Csak azt nem árultam el, hol itt a redundancia. Ha elolvassák a 
Huffmann kódolásról szóló cikkemet, tudni fogják, hol bújik 
meg: a kihasználatlan bitkombinációkban! 


Mivel a DES matematikailag stabil (csak a kulcs rövid), nem 
meglepő, hogy sokan abban látják a biztos jövőt, ha ezt a vete- 
ránt kipofozzuk egy kicsit. Így született a DESX és a 3DES. 


3DES, DESX 

A 3DES (ejtsd: tripla-DES) egyszerűen három DES titkosítás egy- 
más mögé állítása. Mint ahogy a sima szubsztitúciók sorozata 
erősebb titkosítást ad(hat), a sima DES-ek egymásutánja is 
ilyen hatással jár. A hatékony kulcshossz 3"56 bitre nő, a bru- 
te-force ideje pedig kismilliószorosára. A 3DES úgynevezett EDE 
módban használja a benne lévő három DES-t, ahol EDE nem egy 
férfinév, hanem az Encryption-Decryption-Encrypt rövidítése. A 
három DES közül az első titkosítási, a második (más kulccsal!) 
visszafejtési, az utolsó ismét (a harmadik kulccsal) titkosítási 
irányban fut. A másodiktól nem kell félni: a visszafejtés itt egy- 
szerűen a DES-CBC és a Feistel ciklus fordított használatát jelen- 
ti. A DES ugyanis - mint tudjuk - megfordítható. 

A DESX szintén a kulcshossz növelésére született trükk. Az RSA 
Laboratories dolgozta ki, s lényege, hogy az 56 bites DES kul- 
cson kívül további két, egyenként 64 bites kulcsot alkalmaz. 
Egyiket a blokk titkosítása előtt xorolják rá az adatra, másikat a 
titkosítás után, de még a CBC előtt. Ezzel a kulcs 56--64--64 bi- 
tesre nőtt. Bizonyos, itt ki nem fejtett (lineáris, differenciális) 
kriptoanalízis-módszerek előtt nyílik, mint a budiajtó, de ezek- 
hez speciális tudás és mintaadat is kell, így mindennapi hasz- 
nálatra 186 bitesnek tűnik. 


Ennyit a DES-ről, a többi szimmetrikus algoritmus pedig egyelő- 
re ráér. Van még egy-kettő, amit érdemes lehet megismerni - 
bár a Windows világban nem bukkannak fel: IDEA, RC2, RC4, 
RC5, FEAL, SAFER, LOKI, KHUFU, BLOWFISH, CAST, SHARK, 
BEAR, LION, SKIPJACK, 3WAY, Rijndael, SERPENT, 
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Se 


A Windows XP összes változata (Professional, Home) NT alapú. Ha pedig NT, 


értelemszerűen a korszerű, modern NTFS fájlrendszert választjuk, 
nem a régi öreg, korlátolt FAT-et, vagy tuningolt változatát, a FAT32-t. Ezzel kismillió 
szolgáltatáshoz (tranzakciónapló, jogosultsági rendszer, kvóta stb.) , jutunk, 
és kezünkbe kerül az on-the fly (röptében) tömörítés is. Így már két tömörítési eljárás 
közül választhatunk, hisz az XP ,zipelni" is tud. Mikor melyiket érdemes használni? 


Mindenekelőtt szögezzük le: mind a röptében tömörítés, mind 
pedig a ZIP ugyanazt a veszteségmentes tömörítést, a Lempel- 
Ziv algoritmust használja, mely mögött az úgynevezett Huffmann 
kódolás áll. Először áttekintjük a tömörítések menetét. Azok ked- 
véért, akiknek az egerészés a könyökén jön ki, a cikk második fe- 
lében az LZ algoritmussal foglalkozunk: puszta kézzel betömörít- 
jük az ,én elmentem a vásárba félpénzzel" stringet. 

A két tömörítési módszer az azonos algoritmus ellenére is különbö- 
ző mértékű tömörítést tesz lehetővé, ugyanis az LZ többféleképpen 
(sebességre, vagy tömörítési arányra) optimalizálható. A régi moto- 
rosok kedvéért: az ARJ parancssori változatában ez a tuningolás 
teljesen a kezünkben volt: akár a Huffmann puffer méretét is át le- 
hetett állítani. Ma már az ilyen szintű hozzáférés nem divat. 


A röptében-tömörítés 

Kezdjük az NTFS magánszámával, a Windows NT 3.51-ben meg- 
jelent áttetsző (opague) tömörítéssel. Miért nevezik áttetsző- 
nek? Mert a tömörítés a háttérben, a felhasználói folyamatok 
zavarása nélkül zajlik le: a tömörített fájlok zavartalanul hasz- 
nálhatók, mivel az operációs rendszer minden megnyitáskor a 
memóriában kibontja, minden mentéskor röptében tömöríti, és 
zsugorformában teszi a lemezre. 

Olyannyira átlátszó a folyamat, hogy ha az Explorert nem uta- 
sítjuk, hogy a tömörített fájlokat más színnel jelezze, egysze- 
rűen fel sem tűnik, hogy mi tömör, és mi nem. (NTFS-szinten a 
tömörített állapot jelzésére egy fájlattribútum szolgál, mely a 
Hidden-System-Read only-Archive négyesfogat ötödik lova.) 

A tömörítés menete: tetszőleges fájlon vagy könyvtáron vegyük 
elő a tulajdonságlapot (amelyen a modern idők szellemében csak 
két attribútumot látunk az imént felsorolt öt közül), kattintsunk 
a , Speciális..." gombra, s a megjelenő , Speciális attribútumok" 
ablakban ízlésesen helyezzünk el egy pipát a , Tartalom tömörí- 
tése..." jelölőnégyzetben. A megfelelő számú oké után az XP ne- 
kiesik a fájlnak, és tartalmát mintegy ötven százalékos arányban 
tömöríti. (Ez fájltípustól, méginkább a fájlon belüli redundancia 
mértékétől függ. Végrehajtható fájlok (DLL, EXE) esetében tipiku- 
san ötven százalék körüli tömörítési arány várható.) 

Az alábbi párbeszédpanel-páros az imént említett pipákon kívül 
egy 130 megabájtos backup fájl tömörítési arányát is mutatja. Az 
NTFS fájlrendszerben a fájlokról tárolt adatok mennyisége sokszo- 
rosa a FAT-en megszokottnak, így nem meglepő, hogy adatállo- 
mányainknak két mérete is van: egy valódi, és egy tömörítés utá- 
ni (az ábrán , Lemezterület" néven szerepel és 65,8 MB-ot mutat). 
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E artalom tömörítése helymegtakartás végett. 








5 A röptében-tömörítés párbeszédpaneljai 


Ha belegondolunk, ez a tömörítési forma még arra is jó lehet(ne), 
hogy kvótával ellátott köteteken helyet szabadítsunk fel saját 
magunk számára. A gondolat kiváló, de sajnos tett nem követte: 
a redmondi fiúk valamilyen speciális okból a kvóta kiszámításá- 
hoz nem a ténylegesen elfoglalt , Lemezterület", hanem a becso- 
magolás előtti , Méret" mezőt használták fel. Hogy miért? Csak. 


A röptömörítés és a hálózat 

Gondolatkísérlet: ha két XP hálózaton kommunikál egymással, s az 
egyik gépről a másikra átkérünk egy röptömörített fájlt, nyilván tö- 
mörítve megy át a hálózaton, mivel az algoritmust mindkét fél is- 
meri. Teljesen felesleges a feladó oldalán kicsomagolni ugye? Igen. 
De nem ez történik. Network Monitorral kimérve sajnos jól látszik, 
hogy a fájl eredeti formájában halad át a hálózaton. Vajon miért? 
Mert a Windows fájlátviteli protokollja, a Server Message Block 
(SMB) a mai napig nem ismeri ezt a ,tájszólást". Korábbi 
NetMon cikkeimben már mutattam, hogy ezerféle nyelven beszél 
(Xenix stb.), hatszázféle fájlkezelési trükköt ismer (hosszú fájl- 
nevek, UNICODE stb.), de a tömörítésről még mindig nem tud. 
(Az NT 3.51 megjelenése emlékeim szerint 1994-re tehető. Nyolc 
év nem volt elég a tömörítés általános elfogadásához...) 

Ha már a hálózaton , kitekerve" utazik, vajon a helyi gyorsítótár- 
ban legalább tömörítve marad? Nos, egynél több hálózati fel- 
használó esetén már mérlegelni kell, hogy a gyorsítótár (cache) 
használata mikor hatékonyabb: ha abban tömörített, illetve ha 
eredeti méretű fájlokat tárolunk? Paradox módon az eredetik tá- 
rolása hatékonyabb, mert bár több memória fogy, de ha sok fel- 
használónak kell eljuttatni ugyanazt az adatot, nem mindegy, 
hogy egyszer bontjuk ki, vagy állandóan ki-be csukogatjuk. A 
RAM olcsó, a processzorcsere kellemetlen: fogyjon inkább a RAM. 


Az XP beépített ZIP kezelése 

A Windows XP egyik nagy újdonsága, hogy immár felismeri és ke- 
zeli napjaink legeltertedtebb tömörített fájlformátumát, a ZIP-et. 
Nyitja, csukja, készíti - mindent tud, amire egy átlagos felhaszná- 
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lónak szüksége van. Mostantól csak a trükkös felhasználók számá- 
ra van értelme WinZIP-et és hasonló célszoftvereket használni, a 
mindennapi tömörítések egyetlen kattintással elvégezhetők. Így: 
álljunk rá a tömörítendő fájlokra, és a jobbklikkes menüből válasszuk 
a Küldés-eTömörített mappa menüpontot. Az elnevezés ne zavarjon 
meg senkit: nem mappa, hanem hagyományos ZIP fájl születik! 
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o A ZIP-tömörítés legegyszerűbb módja 


Mennyiben más az így kapott, zipzáras ,mappában" üldögélő tö- 
mörített fájl, mint a röptében tömörített? Először is lényegesen 
lassabban, de lényegesen kisebb fájlméretet kapunk. Az előző 
130 megabájtos mentési fájl ZIP-mérete mindössze 45 mega- 
bájt! Másodszor a ZIP-tömörítés nem átlátszó. Ha ebből a ,map- 
pából" megnyitunk egy fájlt, az suttyomban kicsomagolódik a 
profilbéli temp-könyvtárunkba, s így nyílik meg. Szó sincs hely- 
ben, röptében tömörítésről! Kicsit kényelmetlenebb ugyan hasz- 
nálni, de a mai napig ez a fájlformátum az, mely garantáltan tö- 
mörítve utazik a hálózaton is! 


Tömörítési algoritmusok 

A redundancia kivonására alapvetően kétféle ,erősségű" megol- 
dás áll rendelkezésünkre: veszteségmentes ,kivonat", melyből 
az adatok eredeti állapota állítható vissza, illetve a veszteséges, 
melyből az eredetire hasonló, de azzal minőségben meg nem 
egyező adatok nyerhetők vissza. Míg a veszteségmentes mód- 
szer minőségromlást nem okoz, éppen ezért kisebb arányú (50- 
8099-os) tömörítést tesz lehetővé, addig a veszteségesnél a 
veszteség növelésével (és a minőség romlásával) egyre nagyobb 
tömörítési arány érhető el (80-9999). A veszteséges tömörítést 
általában multimédiás adatok méretének csökkentésére használ- 
juk (JPEG, MPEG, fraktál stb.). A minőségromlást nem okozó tö- 
mörítési módszereknek pedig például dokumentumok, progra- 
mok tárolásakor és utaztatásakor vesszük hasznát (Zip, NTFS). 


Veszteségmentes tömörítés 

Az egyik legprimitívebb eljárás az ismétlődések kiváltása. Re- 
mek tömörítési arányt lehet elérni DBase fájlokon pusztán azál- 
tal, hogy a fix hosszúságú adatbázismezők töltelékszóközeit da- 
rabszám szerint összevonogatjuk, s két bájton leírjuk: itt 23 
szóköz következik. Ugyanez az eljárás képfájlokkal is csodát mű- 
velhet. De mi a helyzet a folyamatos és változatos szövegekkel, 
illetve a ránézésre tökéletesen véletlenszerű, ismétlődésmentes 
bájtsorozatokból felépülő programokkal (".EXE, ".DLL) ? 

Ha egy textfálj tartalma , Karácsonyi üdvözlet", és csak ez a két 
szó, vagyis 19 karakter alkotja a tömörítendő adathalmazt, min- 
denki tudja, hogy nem érdemes tömöríteni: a ,tömör" fájl nagyobb 
lesz, mint az eredeti. Miért? Vajon nincs a példaszövegben redun- 
dancia? Első ránézésre nincs, hisz nincs betűismétlődés sem. 
Azonban az első ránézés félrevezető. A redundancia ott bújik meg, 
hogy ezt a rövidke szöveget 8 bites karakterekkel, bájtokkal írtuk 
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le, mely 256 különböző jel megkülönböztetését tenné 
lehetővé - de nekünk itt a szóköz beszámításával is 
csak 19 jelre lenne szükségünk, azaz 5 bites kódtábla 
is elegendő lenne. 19"8 helyett 19"5 bit tárolása igen 
jelentős tömörítési arány - lenne! A bökkenő az, hogy míg a 

8 bites kódtáblát szabványosították (ASCII), így minden gép isme- 
ri, addig a mi 5 bites táblánk értelmezéséhez a tömörített adatok 
mellé le kell tárolnunk a visszafejtéshez szükséges ABC-t is, s 
máris 30-40 bájtnál tartunk az eredeti 19 helyett. 

Ha továbbgondoljuk a rövidített ABC-eljárást, rájövünk, hogy 
hosszabb szövegek esetén ezzel nem lehet célt érni: ahogy a 
szövegben egyre több betű fordul elő, úgy illan el annak az esé- 
lye, hogy 8 bitesnél kisebb kódszótárral leírható a szöveg. 





Gumibájt 

Szerencsére épp idejében született Morse (Samuel F.B. Morse 
1791 - 1872, a Morse ABC szabadalmaztatása: 1840-ben), hogy 
zsenialitásának fényével megvilágítsa homályban tapogatódzó 
kezeinket. Mindenki ismeri a Morse ABC néhány betűjét, például 
az ,§" betűt (...), az ,o" betűt (--), vagyis el tudja olvasni ezt: 
a... A katonaviseltek még ennél is többet tudnak, például is- 
merhetik az "E" betűt, ami egyetlen rövid jelből áll csupán. A 
Morse ABC különlegessége abban áll, hogy a karakterkódok táro- 
lásához változó számú "bitet" használ fel, így a természetes nyel- 
vekben gyakoribb hangok kevesebb tárolóhelyet (akár egyetlen bi- 
tet!) emésztenek fel, míg a ritkábban előfordulók akár négy-öt bi- 
tet is igényelhetnek. Ha az egyszerű szöveges fájlokat nem ASCII, 
hanem Morse kódolással tárolnánk, 80-9099-os tömörítési arányt 
érhetnénk el! Kolosszális, zseniális! A III. évezred ötlete! 


Akkor miért nem így tároljuk...? 


1. Mert a Morse ABC nem bináris, hanem háromállapotú jelekből 
épül fel (hisz külön értelmezendő a jel hiánya, a szünet is), 
s ezt igen nehéz lenne átültetni az ostoba, betokosodott bi- 
náris számítógépeink nyelvére. 

2. A Morse ABC gyakoriságfüggvénye kizárólag nyers dokumentu- 
mokra használható, de ha a fáljban egyéb bináris információ 
is szerepel (ilyen például a Word .DOC dokumentumok fejlé- 
ce), az angol nyelv statisztikai elemzésén alapuló gyakoriság 
tökéletesen használhatatlanná válik. Nem is beszélve a szö- 
vegnek igen nehezen nevezhető végrehajtható programokról. 

A változó hosszúságú kódolás ötletét azonban ne vessük el, hisz 
zseniális. Ha a kódtáblát mindig az adott tömörítendő adattar- 
talom alapján egyedileg, dinamikusan építenénk fel, tetszőleges 
bináris folyam tömöríthetővé válna. S ezzel feltaláltuk a 
Huffmann kódolást. A világ összes veszteségmentes tömörítője 
ezen az elven, vagy az ebből kifejlesztett Lempel-Ziv algoritmus 
alapján működik (ARJ, ZIP, PK, LHA stb.). A tömörítőprogram el- 
ső lépésként felállítja a tömörítendő fájl bájtjainak gyakoriság- 
táblázatát, majd ennek birtokában ,leosztja a lapokat", vagy egy 
jobb hasonlattal élve szótárt készít. A gyakoribb bájtokhoz rövi- 
debb (2-3 bites), a ritkábban előfordulókhoz hosszabb (akár 8 bi- 
tet is meghaladó) kódot rendel, majd e szótár segítségével "le- 
fordítja" a fájlt, s végül belekerül a , szótár" is, hogy a kicsoma- 
goláskor ne kelljen külön szótárfájllal vesződnünk. (Aki elég régi 
motoros a szakmában, találkozhatott olyan őstömörítővel, melyből 
két fájl pottyant ki: egy tömörített eredmény meg egy szótár.) 

Vajon miben különbözik egyik tömörítő a másiktól? Sebesség- 

ben, tömörítési arányban, és szolgáltatásválasztékban. De az al- 

goritmusuk ugyanaz: Huffmann vagy Lempel-Ziv. A teljesít- 
ménykülönbség, és az egymással nem kompatibilis fáljfelépítés 
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abból adódik, hogy mindegyik gyártó maga próbál- 
ja meg megtalálni az optimális kódszótárt, amely 
hite szerint jobb, mint a konkurenciáé. A szótár 
felépítésére nincs szabály, a lényeg, hogy hatékony 
tömörítést tegyen lehetővé. Minden gyártónak megvan a 
maga féltve őrzött titkos receptje, s legalább annyira titkolják 
egymás elől mint Zwack az Unicumot. 


A Huffmann kódolás 

Írjunk veszteségmentes tömörítőprogramot! Nem kell hozzá 
más, mint papír és ceruza. Legyen a feladat az ,én elmentem a 
vásárba fél pénzzel" nótasor tömörítése. 


1. lépés: gyakoriságtáblázat készítése 

Elsőként meg kell számolnunk, melyik karakter hányszor fordul 
elő a szövegben. Az alábbi táblázat ennek a bonyolult számítás- 
nak az eredményét tartalmazza: 


Ev 551.1b fel 





A táblázat alapján a legrövidebb kódsorral az "e" írandó le, mert 
ebből van a legtöbb. (Valójában a leggyakoribb betű a szóköz (5 
db), de ezt teljesen kihagytam a további számításokból, mert ne- 
héz lerajzolni, így valójában ezt tömörítjük: énelmentemavásárba- 
félpénzzel) 


2. lépés: kódszótár felépítése 

A kódszótár kialakítása döntő fontosságú, a tömörítés haté- 
konysága a kódszótár helyes megválasztásán áll vagy bukik. 
Nincs szabványos, vagy egyedül üdvözítő algoritmus a szótár 
összeállítására, csak ökölszabályok, irányelvek léteznek. Ezek 
közül talán a legfontosabb, hogy a kódrendszer legyen , önjáró", 
egyértelmű. A Morse ABC például nem lenne egyértelmű, ha 
szünetjelektől), mert vannak olyan elemei a szótárnak, melyek 
más elemek építőköveiként megtalálhatók. A ,,..." jelsorozat je- 
lenthet egyetlen ,S" betűt, de akár így is olvashatjuk: , EEE7. A 
mi kódszótárunk nem tartalmazhat ilyen ellentmondást! Az 
egyik legjobb módszer egyértelmű szótár kialakítására a bináris 
fára felaggatott ABC, ahol csak a fa levelei hordozhatnak szó- 
tárelemeket, az elágazások nem. Képzeljünk el egy bináris kará- 
csonyfát, melyet az ABC betűivel díszítünk. A fa csúcsának kö- 
zelébe érdemes felakasztani az értékesebb díszeket, tehát a 
gyakori betűket (hogy ne érjék el a gyerekek :), míg lejjebb el- 
helyezhetjük a kevésbé értékeseket. A fa lehet magas is és szé- 
les is, az alábbi ábrán magas fát , díszítettem", amelynek elő- 
nye, hogy a leggyakoribb jel (a mi esetünkben az E) két bites 
jelsorozatot kap a szótárban - de ez egyben a hátránya is: a rit- 
kább jelek rengeteg bitből állnak. 
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5 Tömörítési kódszótár építése 


Szélesebb, de alacsonyabb fát is készíthettem volna azáltal, 
hogy nem helyezek mindjárt a csúcs közelébe jelet, hanem 
előbb hagyom egy kicsit ,bokrosodni", s a rengeteg ágra aztán 
1-2 réteg alatt felaggatható a sok szép betű. 

A fáról már könnyen leolvasható az egyes betűknek megfelelteten- 
dő bitsorozat, amelyet az alábbi táblázatban gyűjtöttem össze: 





























tell ú p ! 001000 

é [10 t ]! 0010111 

n ] 011 v. ] 0010110 

L ] 010 r ] 0010101 

m ] 0001 ] s ] 0010100 

a ] 0000 ] b ! 0010011 

á ] 00111 [ f ] 0010010 
[z 00110 


Ha valakinek van kedve hozzá, végigbogarászhatja, hogy ABC- 
nk egyértelmű-e, vagyis található-e benne olyan önellentmon- 
dás, mint a Morse ABC-ben (Emlékeztetőül: 5-EEE) 


3. lépés: átkódolás 

A kódszótár birtokában elvégezhetjük a , fordítást", s lemérhet- 
jük tömörítésünk hatékonyságát 
énelmentemavásárbafélpénzzel (28 bájt) 
510011110100001110110010111110001000000101010011100 
101000011100101010010011000000100101001000100010011 
001100011011010 (14 és fél bájt) 

Ez körülbelül 5099-os tömörítési aránynak felel meg. Nem rossz, 
de nem is jó, aminek az az oka, hogy túl magas lett a fám, ezért 
aránytalanul sok karakter kapott 7 bites kódot. Lelkes Kedves 
Olvasóim elkészíthetik saját ,díszítésüket", hogy lemérjék, va- 
jon kódszótáruk hatékonyabb lesz-e (ebben egészen biztos va- 
gyok), mint az én magas fám. 


Fóti Marcell 
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A Windows XP. . 
zavaró újdonságai 


Emlékszem, amikor először használtam Windows 2000-et, a fel- 
használói felületen megjelenő újdonságok, a sok varázslat, ami 
ugrásra - akarom mondani kattintásra - készen állt, hogy igé- 
nyeimet kielégítse, rendkívül idegesített. Minden akkori tudáso- 
mat latba vetve majdnem az első dolgom volt, hogy valami 
használhatóbb, kevesebb extrával felszerelt környezetet teremt- 
sek magamnak, ahol mindent látok, amit kell, könnyen megta- 
lálom a programokat, kicsit otthonosan mozgok a sok újdonság 
közt. Nem telt el sok idő, hozzászoktam az általam beállított, új 
környezethez. Aztán jött a Windows XP - hamarabb, mint gon- 
doltam. Újból felborította a rendet, bár közel sem annyira, mint 
elődje a Windows 2000. Persze itt is a megújult felhasználói fe- 
lület - alig lehet valamit ott megtalálni, ahol megszoktuk - a 
leginkább zavaró. Mindez állítólag a felhasználók, vagyis a még 
könnyebb és hatékonyabb munkavégzés érdekében történik. 

A Windows XP-re jellemző a minden eddiginél több pop-up ab- 
lak és varázsló, új ficsörök sokasága, amelyeket valójában kevés 
helyen használnak. Meglepődve tapasztaltam, hogy sok rend- 
szergazdát inkább az érdekel, hogyan is tüntesse el az újdonsá- 
gokat a felhasználók elől, mert tulajdonképp nincs szükség rá- 
juk. Összeszedtem hát egy csokorba őket, mindenki okulására. 


CTRL--ALT4-DEL bejelentkezés 

Kezdjük mindjárt a belépőképernyővel. Egészen addig, míg a gép 
nem tartomány tagja, lehetőségünk van egyszerűbb módon belép- 
ni, mint az eddigi CTRL--ALT--DEL-es módszerrel. Amint tartomány 
tagjává tesszük a gépet, visszatér a hagyományos bejelentkezés. 
Ahhoz, hogy tartomány nélküli környezetben visszakapjuk a már is- 
mert bejelentkezési képernyőt, a Control Panel - User Accounts beál- 
lítások közt az alábbi képen is látható két pipát kell megszüntetni: 


ETT ZT 


Back £2 BZ Home 


] Related Tasks j sz 
)gon and logoff 


/ Learn About 


Use the Welcome screen 
By using the Wekome screen, you can simply eltek. 
Vvour account name to log on. For added security, 
You can turn off this feature and use the classic 
logon prompt which reguires users to type a user 
account name. 


u (2) togon options 


Use Fast User Switching 
With Fast User Switching, vou can guickly switch to 
another user account without having to dose any 
programs, Then, when the other user is finished, 
You can switch back to your own account. 


8 
5 A CTRL4ALT4-DEL , visszaszerzése" 


A Fast User Switching kikapcsolása csupán azt biztosítja, hogy 
minden esetben ki kell lépni, mielőtt valaki más beléphetne a gép- 
re, ettől még a bejelentkezési képernyő nem fog változni, viszont 
Welcome Screen nélkül sajnos nincs lehetőség gyors felhasználó- 
cserére sem. Az igazán hasznos gyors felhasználóváltás tehát a 
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kiskacsás bejelentkezőképernyő függvénye - az ördög tudja miért! 
Ebből sajnos az is következik, hogy tartományi tag gépeken 
(ahol CTRL4-ALT4-DEL-es a bejelentkezés) a gyors felhasználóvál- 
tás nem elérhető. 


Windows XP Tour 
Az első három belépés alkalmával a Windows XP kis kitérőre in- 
vitálja a felhasználót, mert szeretné bemutatni önmagát. 


4) Take a tour of Windows XP x 


To learn about the exciting new features ín XP now, click here. 
To take the tour later, click All Prograrns on the Start menu, 
and then click Accessories, 





5 Az XP ezzel a buborékkal hívja fel magára a figyelmet 


Mivel csak az első három belépésnél jelenik meg az invitálás, 
ezért ezt a problémát az idő is megoldja, de a registry módosí- 
tásával elkerülhető a szívélyes invitálás. 

Az új felhasználókra vonatkozóan a HKEY LOCAL MACHINE alatt 
kell változtatni, a többiek esetében a HKEY CURRENT USER alá 
kell felvenni a következő értéket: 


[HKEY. LOCAL MACHINE vagy HKEY. CURRENT. USER] 
XSoftwareWMicrosoftWWindowsXCurrentVersionY4Applets 
XTour 

Value: RunCount 

Type: REG DWORD 

Data: 0 


Ha az utolsó kulcsot nem találjuk, magunknak kell felvenni azt 
a regisztrációs adatbázisba. 
Ha mégis szeretnénk végigjárni a bemutatást, a Start Menu - 
Accessories alatt továbbra is megtalálható a Windows XP Tour 
ikon, bármikor elindítható. 


Az ablakok és a gombok 

Nemcsak a Start Menü, hanem az ablakok és gombok arca sem 
tetszik sokaknak. A Control Panel - Display - Appearance lapon 
vissza tudunk térni a Windows Classic stílushoz. Sok választási 
lehetőségünk nincs, a Windows XP-s és a Windows Classic válto- 
zat közt lehet dönteni. Tapasztalataim szerint a legtöbben a 
Classic változatot választják. 

A rendszergazdák házirendben is meghatározhatják az ablakok 
megjelenését. Az erre vonatkozó beállítások a házirend felhasz- 
nálói beállításai közt az Administrative TemplatesXControl Panel 
Wisplay Wesktop Themes alatt találhatók. 


A Start Menü 


Elég sokan nem szeretik a Windows XP új Start Menüjét, ezért 
inkább szeretnék visszakapni a régit. Érdekes megközelítés az 


ZÚÜ8S. OT. 





te6esuopCn oueaez gx smopurm y / dX 


eg 


A Windows XP zavaró újdonságai / XP 


ek 





üres Asztal is, hisz Bill Gates annak idején ezt mond- 

ta: ,Számítógépet minden asztalra!" S most tessék, 

az XP asztalán nincs semmilyen számítógép. 

Furcsamód a teli, terülj-terülj asztalkám és a hagyomá- 

nyos Start menü beállítása összenőtt, a klasszikus Start me- 

nü kiválasztásával klasszikus asztal is jár - az ördög tudja miért! 

A megoldást mindenki meg is találja, a Taskbar - jobb klikk - 
Properties ablakig remélem mindenkinek sikerül eljutnia. 


Taskbar and Start Menu Properties 
EZT SELENTI Customize Classic Start Menu 
Start menu 


You can customize your Start 
Sz] menu by adding or removing 
I items, 

















To remove records of recently 
HZ)  accessed documents, programs, 
and Web sites, click Clear. 





Advanced Start menu options: 


Select this menu si 
Internet, e-mail, a 





Display Favorites 

Display Run 

Enable dragging and dropping 

Expand Control Panel 

Expand My Documents 
Expand My Pictures 

















0 Classic Start menu 
Select this option tj 
earker versions of 























! 
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(1. O Start menu 
B éz aj 


5 Visszatérés a régi Start Menühöz 


Itt egyszerűen visszakapcsolhatunk Classic Start menüre, vagy 
tovább mehetünk és a , Customize..." gomb mögött, további fi- 
nomításokra van mód. 

A házirendben meglehetősen aprólékosan lehet szabályozni a Start 
Menü és Taskbar beállításait. A felhasználói beállítások közt negy- 
venkettő különböző állítási lehetőség található az Administrative 
Templates N Start Menu and Taskbar alatt. Jó bogarászást! 


Windows Messenger 

A Messenger letiltásának többféle módja ismeretes. Én itt most 
csupán egyet ismertetek, a Microsoft Knowledge Base 0302089 
cikk tartalmazza többféle Messenger verzió esetén a támogatott 
megoldásokat. 

Az egyik lehetséges megoldás, ha a házirend segítségével tilt- 
juk le a Messengert. Két helyen is meg lehet találni, egyszer a 
felhasználók, egyszer pedig a gép beállításai közt. Mind a két 
helyen a az Administrative Templates Y Windows Components Y 
Windows Messenger útvonalon van a beállítás. 


omputer Configurationt administrative Templatesi Windows Componeni 





ég Do not allow Windows Messenger to be run 
ÉH Do not automatically start Windows Messenger initially 


Not configured 
Not configured 


5 Messenger letiltása a házirendben 


Az elsővel abszolút megtiltjuk, a Windows Messenger futását, 
míg a második arra jó, hogy bejelentkezéskor ne indulhasson el 
a Messenger. 

Ha mind a kettőt , Enabled" állapotra hozzuk, nem tudják majd 
használni a felhasználók a Messengert, és a gép indulásakor sem 
töltődik be. Ha a gép és a felhasználók beállításai közt is átál- 
lítjuk, a gépre érvényes házirend fog érvényre jutni. 
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Hibabejelentés 

Amikor egy alkalmazás vagy maga az operációs rendszer szabály- 
talan műveletet végez, vagy egyéb hibák miatt , elszáll", a Win- 
dows XP feldob egy ablakot, melynek segítségével el lehetne kül- 
deni a Microsofthoz a hibát - feltéve, hogy a gépnek van Inter- 
netkapcsolata. Ha nem szeretnénk, hogy ez az ablak megjelenjen, 
a Control Panel - System ablak Advanced lapján, az Error Report- 
ing gomb mögött rejtőző beállításokkal le lehet tiltani a hibabe- 
jelentést. Gondoljunk szegény felhasználóra! Nem is fogja érteni, 
hogy mit, hova, miért kellene neki küldeni, az elveszett munkája 
miatt aggódik inkább. Ez a szolgáltatás adja a legjobb táptalajt 
az amúgy is burjánzó legendakörnek (keress rá a neten: urban leg- 
ends), mely egységesen arról szól, hogy gépünk a Microsoft 
beépített ügynöke, kémje, és minden adatunkat jelenti Billnek. 






System Properties 5 jkd eg 
System Restore ] Automatic Updates ] Remote ] 
General ] Computer Name ] Hardware Advanced 





Error Reporting mra: 


úg You can choose to have soltware errors 










reported to Microsoft to help improve future 
products. 





[7 But notify me when critical errors occur 


CC  Enable error reporting 


I windows operating system, 


Choose Programs... I 


terei ] 
Environment Variables Error Reporting I 


[Programs 

















OK Cancel I épply. I 


5 A hibabejelentés kikapcsolása 


Talán érdemes bekapcsolva hagyni a , But notify me when criti- 
cal errors occur" funkciót. Így kritikus hiba estén az operációs 
rendszer értesíti a felhasználót az eseményről. Ha nem is tud 
vele mit kezdeni, legalább tud valamit mondani a rendszergaz- 
dának a történtekről. 

Ha nem szeretnénk teljesen letiltani a hibabejelentést, a , Choose 
Programs" gomb alatt pontosan beállítható, hogy mely alkalma- 
zások esetén próbáljon az operációs rendszer riportot küldeni. 

A hibabejelentést szabályozhatjuk házirend segítségével is. A 
számítógépbeállítsok alatt a Administrative TemplatestSystemN 
Error Reporting alatt ugyanaz beállítható mindenkire egysége- 
sen, mint amit a System tulajdonságai közt találunk. 


Beépített ZIP tömörítő 

A beépített tömörítést a system32-ben található zipflidr.dil végzi. 
Előfordulhat, hogy a beépített tömörítő összeakad valamely külsős 
tömörítő eszközzel, ezért hasznos lehet, ha tudjuk, hogy is kell ki- 
kapcsolni. A kiiktatásához a következő parancsot kell kiadni: 


regsvr32 /u ZsystemrootZüsystem3gtzipfldr.dll 
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A gép újraindítása után már nem fog működni a beépített tömörítő. 
Ha később mégis használni kellene, akkor a /u nélkül kiadva 
ugyanezt a parancsot, újra használhatóvá válik a funkció. (Lásd 
még ZIP cikkünket a 22. oldalon!) 


Desktop cleanup" varázsló 

Alapértelmezett beállításként minden második hónapban elin- 
dul az asztaltakarító varázsló, amellyel a nem használt ikonokat 
távolíthatjuk el az asztalról. Abban ugyan van valami, hogy amit 
nem használunk két hónapig arra nincs is szükség, de mégis 
egyszerűbb kikapcsolni. 





General ] web ] 


Desktop icons: 


I My Network Places 
I Intemet Explorer 





IZ My Computer 















Ce DA ú a 
íg8 jo íg 2 
My Computer. My Documents MyNetwork  RecycleBin Re: 
Places (full) G 


5] 
Change Icon... I Restore Default I 


Desktop cleanup moves unused desktop items to a folder. 







Desktop cleanup 





[7 Run Desktop Cleanup Wizard every 60 days 


Clean Desktop Now ! 





a Az asztaltakarító varázsló kiiktatása 


Ehhez a Control Panel - Display - Desktop ablakán a Costumize 
Desktop gombra kell bökni, ekkor jelenik meg a fenti képen is 
látható ablak. Itt kikapcsolhatjuk, vagy akár azonnal futtathat- 
juk is a varázslót, ahogy tetszik. 

Szabályozhatjuk ezt a beállítást a házirendben is. A felhasználói 
beállítások . közt az Administrative — TemplatestWindows 
Componentsesktop útvonalon található a ,Remove the Desktop 
Cleanup Wizard" házirend, amelyet ha bekapcsolunk, nem fog futni 
hatvannaponta a varázsló (sőt, egyáltalán nem lesz használható) . 


"Low Disk Space" figyelmeztetések 

Amikor az operációs rendszer úgy dönt, hogy kevés hely van vala- 
mely partíción - konkrétan 200 MB szabad hely alatt - figyelmeztet, 
hogy nincs elég hely. Ahogy csökken a szabad terület, egyre gyak- 
rabban figyelmeztet, pedig egy értesítésből is tudjuk: kevés a hely! 
Persze a legjobb, ha úgy szüntetjük meg ezeket az üzeneteket, 
hogy valóban takarítunk a merevlemezen, de lehetőség van 
az üzenetek megjelenésének megakadályozására is. Ehhez a 
registryt kell módosítani. 


IHKEY. CURRENT. USERNSoftwareMicrosoftWindowsA 
CurrentVersionMPoliciestExplorer] 

Value: NoLowDiskSpaceChecks 

Type: REG DUORD 

Data: 1 
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(Zárójelben jegyzem meg, ez a beállítás a registryben 
ugyanott található, mint azok, amelyeket a házirend- 
ben állíthatunk, én mégsem találtam a házirend sza- 
bályai közt. A Microsoft Knowledge Base is a registry 
módosítást ajánlotta (0285107) erre a problémára. ) 


Figyelem! Érdemes legalább 200 MB szabad helyet tartani a par- 
tíciókon, mert ez szükséges a Windows XP System Restore funk- 
ció használatához. A fenti megoldás természetesen csak az üze- 
netek megszüntetésére jó, nem a probléma megoldására! 


A keresési felület 

Szintén egy olyan újdonság, amiről a legtöbben azt mondták, le- 
lassítja a munkát. A Windows XP úgynevezett Search Companion új- 
donságáról van szó, amely a kereséseket hivatott megkönnyíteni. 


Search Companion X ) Search x 
CS ] 


(Search for Files and Folders 





What do you want to search for? 
EJ Pictures, music, or video 
EJ Documents (word processing, 


Search for files or folders named: 





spreadsheet, etc.) T 
EJ Al files and folders birnak 
ÉJ computers or people Type words contained im the fe. 
48) Information in Help and Support : 
Le Lockin 
You may also want to... ax 1 I 
(EJ Search the Internet FEST 
SearchNow] Stop Sesrch 
jereekeászásásó ÜESSEHSE] . EEG] 
:h Opti 2 


49 Turn off animated character 


Search for other items: 
Files or Folders 
Computer 

Peoole ! 
Internet I 


I 
! 
I 
! 





5 Keresési felület a Search Companionnal és nélküle 


A visszatérés a Windows 2000-es keresési felülethez csak regist- 
rymódosítással lehetséges. A következő kulcsra van szükség: 


IHKEY. CURRENT. USERNSof twareWicrosoftWindowst 
CurrentVersionYVExplorerACabinetState] 

Value: Use Search Asst 

Type: REG SZ 

Data: no 


Balloon Tips 

Mikor egy ikon fölé visszük az egeret és várunk egy másodper- 
cet a kattintás előtt, a képen is látható úgynevezett , Balloon 
tip" - hívjuk buboréknak - jelenik meg, amiből megtudhatjuk, 
mi is fog történni a kattintás után. Ezen kívül a Taskbar vagy 
tálca jobb szélén levő értesítési területen (Notification Area) 
önmaguktól (mondjuk belépés után, vagy egy-egy esemény követ- 
kezményeként) további buborékok jelenhetnek meg, tájékoztat- 
va bennünket a történtekről, vagy a szükséges tennivalókról. 
Ilyen tipp például a cikk második képén is látható Windows XP 
Tour figyelemfelhívó tippje is. 


MOT: Es 





te6esuopCn 9uenez gx smopurm v / dX 


Bit 


A Windows XP zavaró újdonságai / XP 


28 


Pff VVindows 






] SwitchUser 


Lets another user log on while your programs and files remain 
open. 







(You can also switch users by pressing the Windows logo key 
AL) 






5 Egy buborék a sok közül 


Megintcsak a regisztrációs adatbázis módosításával lehet kikap- 
csolni a buborékok megjelenítését: 


IHKEY CURRENT USERMSoftwarelMicrosoftWWindowsY 
CurrentVersionYExplorervAdvanced] 

Value: EnableBalloonTips 

Type: REG. DWORD 

Data: 0 


Következő belépés után már nem fognak feljönni a tippek. 

Ne keverjük össze ezeket a tippeket a Start Menü ikonjain, vagy a 
fájlkezelőben a könyvtárak és fájlok esetén megjelenő információk- 
kal. Ez utóbbi , üzenetet" az Explorer Tools menü - Folder Options 
- View ablakában tudjuk megszüntetni. Az Advanced beállítások 
közt alulról a második - a Show pop-up description for folder and 
desktop items - opcióval tudjuk szabályozni az infok megjelenését. 
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Windows Update 

Automatic Update-nek is hívják, a menüben, mint Windows 
Update jelenik meg. Ez sem teljesen új funkció a Windows XP-ben, 
hanem a korábbi operációs rendszerekben (Windows 95/98, Win- 
dows 2000) fellelhető Critical Update Notification utódja. Nagyon 
hasonlít a Windows Millenium Automatic Update funkciójához. 

A szolgáltatás időről időre megpróbál csatlakozni a Windows 
Update site-hoz, hogy letöltse a kritikus frissítéseket. Mindezt 
akár beavatkozás nélkül is képes elvégezni. 

Lapunk hetedik oldalán kimerítő információ olvasható nemcsak a 
Windows Update-ről, hanem ennek vállalati hálózatra szánt ki- 
szolgálókomponenséről, a Windows Update Corporate Editionról. 
S mivel annyi energiát szántunk arra, hogy megmagyarázzuk, mi- 
től is olyan hasznos ez a bigyó, nem zárnám rövidre a történetét 
azzal, hogy bemutatom a kikapcsolását. A hetedik oldalon ez is 
olvasható, továbbá szóba kerül egy érdekes, ámde ismeretlen 
Windows szolgáltatás, a Background Intelligent Transfer Service 
(BITS) is, mely a háttérben fut, de vajon mit csinál? 


Itt a vége... 

Ebben a cikkben igyekeztem összeszedni a legtöbb olyan újdon- 
ságot, amelyektől - tapasztalatok szerint - szívesen szabadul- 
nának az emberek. Ahol lehetett, megpróbáltam a felhasználó 
és a rendszergazda szemszögéből is megmutatni a megoldáso- 
kat. Több helyen csak a regisztrációs adatbázis módosítása se- 
gített, hiába van olyan sok beállítási lehetőség a házirendben. 
(Persze írhatunk magunk is házirendet, de ebbe most ne menjünk 
bele.) Mindenki vegye figyelembe, hogy Microsoft-ajánlás sze- 
rint, a registryt közvetlenül csak akkor módosítsuk, ha már nincs 
más megoldási lehetőség. A cikkben leírtakat többé-kevésbé a 
Microsoft Knowledge Base is tartalmazza, de mindenki a saját 
felelőségére használja őket. Én ugyan mindet kipróbáltam, és a 
gépnek kutya baja, de az ördög nem alszik. 


Dorner Csilla 
dorner.csillaonetacademia.net 
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ÚGY LÁTSZIK, TAMÁS MÉG MINDIG NEM BÍRT 
MEGBARÁTKOZNI AZ XP KEZELŐFELÜLETÉVEL... 
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Rendszergazdai jogosultságok 


Csakúgy, mint az Active Directoryban, az Exchange-ben is van lehetőség arra, 

hogy meghatározott jogosultságokkal rendelkező kisrendszergazdákat nevezzünk ki. 
Ennek legegyszerűbb módja, ha a System Managerben az Exchange Administration 
Delegation Wizardot, vagyis a jogosultságosztó varázslót használjuk. 


A varázsló használata valóban roppant egyszerű, azonban legtöbb- 
ször nem elégíti ki az igényeket. Éppen ezért ebben a cikkben meg- 
nézzük azt is, hogyan lehet finomabban hangolni a jogosultságokat. 


Az Exchange jogosultságokról 

Egy újabb bizonyíték az Active Directory és az Exchange 2000 
összefonódására, hogy az Exchange a Windows 2000 jogosultsá- 
gi rendszerét használja. Exchange telepítése során az Active 
Directory séma kibővül az Exchange specifikus jogokkal. Azt 
mondhatjuk tehát, hogy amikor a System Managerben az objek- 
tumok tulajdonságai közt átállítjuk a jogosultságokat, tulajdon- 
képp Active Directory objektumok jogait változtatjuk. 

Azokat a jogosultságokat, amelyek az Exchange nélkül is részei 
az Active Directorynak, Standard jogosultságoknak hívjuk. Ezek 
a már jól ismert jogok a Readtől a Full Controlig. Ne feledkez- 
zünk meg a kivételekről sem. Az , Execute", ,Add/remove self" 
vagy a , Delete tree" Active Directory jogosultságoknak nincs ér- 
telmük Exchange objektumokon. 

Azok a jogosultságok, amelyekkel az Exchange telepítése bővíti az 
Active Directoryt, az úgynevezett Extended jogosultságok. Felso- 
rolhatatlanul sok van belőlük, ráadásul ezek a jogosultságok ob- 
jektumonként eltérnek. Például a ,Create Top Level Public Folder" 
jogosultság a Public Folder objektumra vonatkozik, míg az , Open 
mail send Oueue" az Exchange Server objektumán értelmezett. 
Több eszközzel is megnézhetjük, illetve állíthatjuk ezeket a jo- 
gosultságokat. Megeshet, hogy ugyanazon objektum esetén is 
eltérő listát fogunk kapni az eltérő programokban. Egy példa er- 
re mondjuk a First Routing Group objektuma. Más listát látunk, 
ha a System Managerből nézzük, és más joglistát kapunk, ha 
ADSIEdittel nézzük. (Már csak zárójelben jegyzem meg, mert 
annyiszor volt szó róla, az ADSIEdit a Windows 2000 Support 
Tools része, amelynek telepítése szinte kötelező!) Még jó, hogy 
ilyen sok helyről lehet állítani a jogokat. Egyébként a System 
Managerben az Organization, az Administrative Groups vagy a 
Routing Groups szintjén csak akkor látszik a tulajdonságlapok 
közt a , Security", ha a registryben módosítunk: 


HKEY. CURRENT. USERNSoftwareWicrosoftXExchangeN 
EXAdmin 

Value: ShowSecurityPage 

Type: REG DUORD 

Data: 1 


5 A , Security" lap megjelenítése a System Managerben 
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Ezek a jogosultságok csakúgy, mint az összes többi Active 
Directory jogosultság a szülőtől az alatta levő objektumokra 
öröklődik. Ezt mindig vegyük figyelembe, mert ez egyrészt meg- 
könnyíti a jogok kiosztását, másrészt veszélyes, hiszen kiosztha- 
tunk így olyan jogokat is, amiket nem kellene. Próbáljuk a jogo- 
kat úgy osztani, hogy először magasabb szinten meghatározzuk 
a szükséges jogosultságokat, majd az alatta levő konténereken 
hangoljuk finomabbra a beállításokat. A manuális jogosultság- 
osztásnál erre még visszatérünk, konkrét példát is nézünk. 
Fontos megjegyezni, ha egy objektumról levesszük a jogok örök- 
lődését, ugyanakkor a beállított jogosultságokat nem terjeszt- 
jük le az alatta levőkre, a System Managerben többé nem tud- 
juk majd elérni az adott objektum alatt levő dolgokat, mert 
ilyenkor a ,semmit nem szabad, amit nem engedünk" elv érvé- 
nyesül. Tehát ha nem terjesztjük le a jogokat a szülőről a gyer- 
mekobjektumok felé, a gyermekobjektumokhoz nem lesz jogunk! 
Ez az implicit Deny jog. (ADSIEdit segítségével persze még ebben 
az esetben is rendezhetjük a jogosultsági problémákat. ) 
Exchange jogokra is ugyanúgy léteznek a tiltó (Deny) vagy enge- 
délyező (Allow) jogtípusok, mint bármilyen más Active Directory, 
vagy NTFS jogosultság esetén. Jó példa erre a ,Send As" és a 
vReceive As" speciális exchange jogosultság. , Send As" joggal más 
nevében tudunk levelet küldeni úgy, hogy a címzett nem látja a kü- 
lönbséget. A , Receive As" joggal mások postaládáját tudjuk meg- 
nyitni. Mind a két jog alapértelmezésben még az , Exchange Full 
Administrator" szereppel rendelkező felhasználóknak, ezen kívül a 
Domain Admins és az Enterprise Admins csoportoknak is tiltva van. 


A delegáló varázsló 

A rendszergazdai jogosultságok állításának egyszerű módja az 
Exchange Administration Delegation Wizard használata. Segít- 
ségével különböző szintű rendszergazdákat tudunk kinevezni, 
vagy kinevezést elvenni. Természetesen a szerepekbe nemcsak 
felhasználókat, hanem csoportokat is beoszthatunk. 

A delegáló varázsló használatához már eleve ,Full 
Administratornak" kell lennünk, egyébként nem működik. Ame- 
lyik felhasználó nevében telepítettük az Exchange Servert, az 
(és csak az!) válik rögtön a telepítés után ,Exchange Full 
Administrator"-rá. Persze, ha a telepítésnél csoportot adtunk 
meg erre a szerepre, annak a csoportnak a tagjai mind , Full 
Administrator" szereppel bírnak az Exchangeben. 

A delegáló varázslót két helyről is lehet futtatni. Az egyik a 
szervezeti (organization), a másik Administrative Groups szint. 
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5 A rendszergazdai jogok osztásának két szintje 


Bárhonnan is indítjuk a varázslót, háromféle szerepet tudunk kiosz- 
tani. Ezek az ,Exchange Full Administrator", az ,Exchange 
Administrator" és az , Exchange View Only Administrator". Ha rövi- 
den szeretném a három szerepet megkülönböztetni, azt mondha- 
tom, hogy a , Full Administrator" a legtöbb joggal rendelkező sze- 
rep, az , Administrator" is majdnem mindent tud, kivéve a jogosult- 
ságok állítását. A , View Only Administrator" pedig az, aki csak né- 
zelődni tud a beállítások közt, átállítani azonban semmit sem. 
Ennyire azért nem egyszerű a helyzet, mert a futtatás szintjétől 
függően eltérő eredményt kapunk a három szerepre. 










ELTETT ee AS ELSE ül 


Users or Groups 
Select one or more users or groups to whom you want to delegate control. 





Role 
Exchange Adrministrator 

Exchange Full Administrator (inherted) 
Exchange Full Administrator (inherited) 




















£2 BULLTINY Server Operators 
£2 NWTRADERS administrator 
£2 NWTRADERS VAdminkZP 







Delegate Control 
"Group (recommended) or User: 


IBUILTINYServer Operators 












Exchangi dministr: 
Exchange View Only Administrator 
information. 
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5 Szerep megváltoztatása a varázslóval 





A varázslóval nemcsak kiosztani tudunk szerepeket, hanem meg- 
változtatni az addigiakat, illetve a már kiosztott jogokat el is 
tudjuk venni. Nézzük meg részletesen melyik szerep milyen jo- 
gosultságokat takar! 


Exchange Full Administrator" szerep 

Ha a varázslót a legmagasabb szinten futtatjuk, létrehozhatjuk 

az Exchange (majdnem) teljhatalmú urát. 

Az , Exchange Full Administrator" szinte minden feladatot el tud 

végezni, amire szükség lehet az Exchange üzemeltetésekor. A 

szerephez tartozó jogok a következők: 

0 Full Control a , Microsoft Exchange" tárolón, és annak összes 
gyermekobjektumán. Ezt a tárolót nem láthatjuk a System 
Managerből, csak az ADSIEdittel érhető el, az alábbi útvonalon: 

CN-Configuration, DC-... 
CN-Services, 
CN-Microsoft Exchange 

"8 Deny Receive As és Deny Send As a szervezeti (Organization) 
tárolón, és alatta az összes többi konténerben is. Ez a tiltás 
megakadályozza, hogy a rendszergazda hozzáférjen mások 
postaládájához, illetve, hogy mások nevében levelet küldjön. 


working with 


vindowi: 7 


"8 Full Control az Administrative Groups szintjén. Ez a jog fentről 
öröklődött, ahogy a Deny Send As és Deny Receive As jogok is. 

Ha csak egy adott Administrative Group-hoz szeretnénk 

Exchange Full Administrator" szerepet rendelni, onnan kell fut- 

tani a varázslót. Ilyenkor egy olyan rendszergazdát tudunk lét- 

rehozni, akinek a saját háza táján megvan minden szükséges jo- 
ga, egyébként pedig láthatja a többi beállítást. 

Az — Administrative Groups szintjén kinevezett 

Administrator" jogai a következők: 

"0 Read, List object, List contents az ADSIEdittel elérhető , Micro- 
soft Exchange" tárolón. 

"8 Read, List object, List contents a szervezeti (Organization) 
tárolón, és alatta az összes többi konténerben is. 

8 Full Control, Deny Send As és Deny Receive As jogok az adott 
Administrative Group szintjén. Tehát ő sem tud más nevé- 
ben levelet küldeni, sem más postaládáját megnyitni. 

-0 Full Control kivéve a Change Permissions jog a , Microsoft 
Exchange" alatt levő , Active Directory Connection" tárolón. 

"8 Read, List object, List contents, Write properties joga van 
az ,Offline Address Lists" tárolóhoz. 


nFull 


Az , Exchange Administrator" szerep 

Az , Exchange Administrator" szerep már kevesebb jogosultságot 

takar, a legfőbb különbség az előzőtől az, hogy az , Exchange 

Administrator" nem tudja állítani az objektumok jogosultságait. 

Ettől függetlenül szinte minden feladatot el tud végezni, amire 

egy Exchange üzemeltetéskor szükség lehet. 

A szervezeti szinten létrehozott Administrator szereppel bíró 

felhasználó jogai a következők: 

1 Az ADSIEdittel látható , Microsoft Exchange" tárolón és minden 
alatta levő objektumon Full Control joga van, a Change Per- 
missions kivételével. 

0 Deny Receive As és Deny Send As a szervezeti (Organization) 
tárolón, és alatta az összes többi konténerben is. 

"0 Full Control a Change Permission kivételével az adott Admi- 
nistrative Group szintjén. Ez a jog fentről öröklődött, ahogy 
a Deny Send As és Deny Receive As jogok is. 

Az Administrative Group szintjén létrehozott , Exchange 

Administrator" jogai: 

"8 Read, List object, List contents az ADSIEdittel elérhető , Micro- 
soft Exchange" tárolón. 

"2 Read, List object, List contents a szervezeti (Organization) 
tárolón, és alatta az összes többi konténerben is. 

"8 Minden jog a Change Permissions, a Deny Send as és Deny 

Receive As jogok kivételével az adott Administrative Group szint- 

jén. Tehát ő sem tud más nevében levelet küldeni, sem más pos- 

taládáját megnyitni, sőt a jogosultságokat sem tudja átállítani. 

Full Control, kivéve a Change Permissions joga van a , Micro- 

soft Exchange" alatt levő , Active Directory Connection" tárolón. 

"2 Read, List object, List contents, Write properties joga van az 
Offline Address Lists" tárolóhoz. 


Az , Exchange View Only Administrator" szerep 

A View Only Administrator" az Exchange beállításait csak ol- 

vasni tudja, megváltoztatni már nem. 

Ha a szervezeti szinten osztjuk ki ezt a szerepet, azzal minden- 

hová betekintést adunk a beállításokhoz. Ebben az esetben az 

Exchange View Only Administrator" jogai a következők: 

"8 Read, List object, List contents az ADSIEdittel elérhető , Micro- 
soft Exchange" tárolón és az alatta levő összes objektumon. 

"6 Read, List object, List contents a szervezeti (Organization) 
tárolón, és alatta a többi konténerben is. 
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Ha csak egy Administrative Grouphoz engedjük meg a betekin- 

tést, a következő jogokkal ruházzuk fel a felhasználót: 

b Read, List object, List contents az ADSIEdittel elérhető , Micro- 
soft Exchange" tárolón. 

"6 Read, List object, List contents a szervezeti (Organization) 
tárolón. 

0 Read, List object, List contents az Administrative Groups tá- 
rolón. 

"8 Read, List object, List contents, View Information Store az 
adott Administrative Group szintjén, illetve az alatta levő 
objektumokra 

"8 Read, List object, List contents jog a Recipient Policies, az 
Address Lists, az Addressing, a Global Settings és a System 
Policies tárolón. 

A varázsló használata valóban egyszerű, de van vele két problé- 
ma is. Az első, hogy nem lehet vele elég finoman hangolni a jo- 
gosultságokat, ezért szükség van a jogosultságok ,kézi" állítá- 
sára is. A második, hogy nem elég a varázsló használata, mert 
egyéb jogosultságok is szükségesek a tényleges feladatok elvég- 
zéséhez. Lássuk, mit kell tenni a jogosultság varázsláson túl, ha 
valódi feladatokat szeretnénk megoldani! 


Konkrét feladatokhoz szükséges jogok 

Egy sima (Domain Users csoportban levő) felhasználónak is 
kioszthatjuk az , Exchange Full Administrator" szerepet, mégsem 
lesz képes minden feladatot elvégezni, hisz egy ilyen felhaszná- 
lónak nincs jogosultsága a kiszolgálót bütykölni, sőt, legtöbb- 
ször be sem tud lépni szervereken. Ugyan az Exchange System 
Managert nem szükséges a kiszolgálón futtatni, de tipikus fela- 
dat például a szolgáltatások újraindítása, vagy a felhasználók 
adminisztrációja, amelyekre egy ,gyalogjúzernek" alapértelme- 
zésben nincs joga. A varázsláson túl szükséges tehát, hogy az 
Active Directoryban is megfelelő jogokkal rendelkezzenek az 
Exchange rendszergazdák, illetve a kiszolgálókon az egyéb 
feladatok elvégzéséhez is legyenek jogosultságaik. 

Mindez a legtöbb konkrét esetben azt kívánja, hogy az Exchange 
rendszergazda a  levelezőkiszolgálón egyben a helyi 
Administrators csoport tagja is legyen. 

Az Exchange telepítésekor a Domain Admins és az Enterprise 
Admins csoportok minden jogot - a Send As és Receive As kivé- 
telével - megkapnak az Exchange matatásához. Ha olyan rend- 
szergazdát szeretnénk kinevezni, aki az Active Directoryban és 
az Exchange-ben is , mindenható", legegyszerűbb, ha belerakjuk 
az Enterprise Admins globális csoportba. Ha az is szükséges, 
hogy bele tudjanak nyúlni mások postaládájába, és levelet küld- 
hessenek bárki nevében, még meg kell szüntetni - a szervezeti 
szinten kiosztott - Deny Send As és Deny Receive As jogokat is. 
Mint ismeretes, az Enterprise Admins csoport is automatikusan 
tagja a helyi Administrators csoportnak, így a csoport tagjai 
magán a kiszolgálón is minden szükséges jogosultsággal rendel- 
keznek. Bizony ilyen könnyű előállítani a legtöbb joggal felru- 
házott rendszergazdát! Nem is ez szokta okozni a problémát, 
hanem inkább az, amikor egy feladathoz, a legszükségesebb jo- 
gokat próbáljuk meg kiosztani. Nézzünk meg két konkrét esetet. 


Postaláda-rendszergazda 

Speciális feladat például a postaládák és felhasználók létrehozása 
vagy törlése. A felhasználók létrehozásához minden szükséges jog- 
gal rendelkező beépített csoport az Active Directoryban az 
Account Operators. Ez azonban önmagában nem elég postaládák 
létrehozásához. Ha az Account Operators csoportnak kiosztjuk a 
View Only Administrators" szerepet, máris előállt egy olyan cso- 
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port a tartományban melynek tagjai a felhasználók és 
postafiókok felügyeletéhez megfelelő jogokkal ren- 
delkeznek. Nem szükséges persze a beépített csopor- 
tot használni, lehet az Active Directoryban akár szerve- 
zeti egységenként is delegálni a megfelelő jogokat, kis rend- 
szergazdákat kinevezni. A kulcsszó ebben az esetben az Exchange 
oldaláról a , View Only" szerep, ami mindenképp szükséges. 


Message Oueue felügyelete 

Az üzenetek különböző csatornákon áramlanak a kiszolgálón be- 
lül és kívül. Szükség lehet olyan rendszergazdai jogosultságok 
kiosztására, amelyekkel csak az üzenetek áramlását tudjuk sza- 
bályozni. Ehhez , Exchange Administrator" szerep szükséges az 
adott Administrative Group szintjén, valamint az adott le- 
velezőkiszolgálón a helyi Administrators csoporttagság is elen- 
gedhetetlen. Ha csak nézelődni szeretnénk a levelezési sorok- 
ban, elég a , View Only Administrator" szerep is. 
Jogosultságok , kézi" állítása 

A tapasztalatok azt mutatják, a delegáló varázslóval nem tudjuk 
elég finoman szabályozni a jogosultságokat, így a varázsló mellett 
sokszor szükséges , kézzel" állítgatni szinte mindent. Ilyen helyzet 
például, ha nem szeretnénk, hogy egy bizonyos adatbázishoz hoz- 
záférjen minden rendszergazda. Ennek beállításához nincs varázs- 
ló, el kell menni a Storage Group objektumhoz és a Security fülön 
Deny típusú jogokkal lehet megtiltani a hozzáférést. 








First Storage Group Properties 


General ] Details . Security ] 









A Admin Kozpont (ádminKkZPEnwtraders.msít) 
eg Adrministrator (NWTRADERSYMÁdministrator) 
íg Domain Admins (NWTRADERSWDomain Ádmi,.. 
2 Enterprise Admins (NWTRADERSYEnterprise ... 
ef Everyone 


sa. menta Ő zeszen ERYTNÁADTNOL Tee 








Full control 

Read 

Write 

Execute 

Delete 

Read permissions 


4 
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Addítional permissions are present but not 
Advanced. ] viewable here. Press Advanced to see them. 


F ébe inheritable permissions Írom parent to propagate to this 
ol 





Cancel I Apply Í Help 


5 Jogok letiltása: a Deny győz a küzdelemben 


De hozhatom példának a már sokszor emlegetett Send As és 
Receive As jogokat is. Ez a probléma úgy szokott felmerülni, 
hogy az egyébként minden jogosultsággal bíró rendszergazdák 
nem tudják megnyitni mások postaládáját, amire bizony több- 
ször szükség lehet, mint gondolnánk (bár ezt április elseje óta öt 
év börtönnel díjazza a nagyeszű jogalkotó). Ha a, varázsló segít- 
ségével osztjuk ki az , Exchange Full Administrator" szerepet, 
minden esetben számítsunk arra, hogy ezt a két speciális jogot 
még ezután , kézzel" kell megadni. 

Microsoft Knowledge Base 0262054-es cikke négyféle módszert 
is ismertet, hogyan szabaduljunk meg a korlátozásoktól. 
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1. Ha a felhasználó NEM tagja a Domain Admins vagy 
Enterprise Admins csoportnak, hozzáadhatjuk az 
Exchange Domain Servers csoporthoz, és már meg is 
oldódott a probléma. Vigyázat! Ha egy egyszerű pos- 
taládával rendelkező - egyébként csak Domain Users cso- 
port tagságú - felhasználót rakunk ebbe a csoportba, az is 
képes lesz megnyitni bárki postaládáját és levelet is tud kül- 
deni a nevükben! Ha lehet, ezt a megoldást kerüljük! 


2. Az egész Exchange szervezetre vonatkozóan úgy tudjuk bizto- 


sítani a jogot a postaládákhoz, ha az ADSIEdittel az 
Exchange Organization tárolón levesszük az explicite tiltást 
a Send As és Receive As jogokról. Ne feledjük, hogy nem elég 
mondjuk a - képen is látható - Administrator felhasználó 
esetében ezt megtenni, hanem az Enterprise Admins és 
Domain Admins csoportok jogait is változtatnunk kell, ha a 
kérdéses felhasználó az említett két csoport tagja is egyben. 
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Attibutes Security ] 





Add... 
Remove 


e Authenticated Users 
a Domain Admins (NWTRADERSNDOmain Adri.., 
E Enterprise Admins (NWTRADERSYEnterprise ... 


JE s 


Permissions: Allow Deny 





Modify public folder replica list 
Open mail send gueue 
Read metabase properties 
Receive As 
SendAs 


View information store status 





Advanced... 


F Allow inheritable permissions Írom parent to propagate to this 


Cancel I 4Apply 


object 








5 A , Full Administrator" jogai az Nwtraders szervezeti szintjén 


3. Egyetlen adatbázison is megszüntethetjük a korlátozásokat 
a System Manager segítségével. Elkattogunk az adatbázis- 
hoz - ott előhúzzuk a Security tulajdonságlapot, és megad- 
juk a megfelelő jogokat. Ha így járunk el, csak az adott 
adatbázisban levő postaládákat tudja megnyitni a rendszer- 
gazda, mert a Deny jogosultságok öröklőnek, itt csupán ki- 
vételt teszünk. Nem kell a jogosultságok öröklődését meg- 
szüntetni, elég csak a szürke Deny pipák mellé Allow pipá- 
kat tenni és már kész is vagyunk. Mindenütt azt halljuk, 
hogy a Deny győz az Allow jogok felett. Igen ám, de itt 
mégsem, mert a Deny jogokat örököltük fentről, az Allow tí- 
pust pedig most pipáltuk be a Send As és Receicve As jogok 
mellett. Az örökölt Deny gyengébb, mint az adatbázisra 
konkrétan kiadott Allow, így lesz jog a postaládákhoz! 

4. Directory Sites And Services MMC snap-inből is lehet állítani 
a postaládákhoz a jogokat. Ehhez a View menüben be kell 
kapcsolni a ,Show Services Node" lehetőséget. Ezután akár 
szervezeti (vagy Administrative Group), de akár adatbázis 
szintjén is állíthatjuk a Send As Receive As jogokat. 

A fenti négy módszer arra volt jó, hogy globálisan adjunk jogokat 

a postaládákhoz. Amennyiben nekünk csak egy-egy felhasználó 

postaládájához kell hozzáférést biztosítani, az Active Directory 

Users and Computersben találjuk a megoldást. Az adott felhaszná- 

ló objektumán az Exchange Advanced tulajdonságlapon található 

Mailbox Rights gomb mögött található Full Mailbox Access jogot 

kiosztva biztosíthatunk jogot magunknak egy-egy postaládához. 


Folyt köv. 
Dorner Csilla 
dorner.csilla (o netacademia.net 
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TIömbök és kol 


lekciók 


ese keresés, hashelés 


Az előző részben áttekintettük a kollekciók legfontosabb jellemzőit, megbeszéltük 

a hatékonysági kérdéseket, és láttuk, hogy a tömbök sokkal okosabbak 

mint azt elsőre feltételeznénk róluk. Láttuk az ArrayList osztály használatát, 

és elkezdtünk egy formos keresési példát. Ebben a részben megbeszéljük annak részleteit, 
és áttekintjük a maradék kollekcióosztályok működését. A nagyobb vizuális élmény 
kedvéért közben összerakunk egy teljesítményszámlálókat megjelenítő alkalmazást is. 


ArrayList (folytatás) 
Az előző részt az alábbi kódrészlettel zártuk: 


ArrayList names - 
ArrayList.Adapter(1stNames.Items) ; 

int pos - names.BinarySearch(txtName.Text); 
pos - pos £ 0 ? -pos : pos; 

pos - pos 2- names.Count ? names.Count-l : pos 
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1lstNames.Selectedlndex - pos; 


Ez az előző számban látott alkalmazás mögötti kód, amiben egy 
Textboxba (txtName) gépelve egy ListBoxban (IstNames) jelöl- 
jük ki a begépelt szöveg kezdetére leginkább illeszkedő sort. 

A BinarySearch pozitív számmal tér vissza, ha megtalálta a ke- 
resett elemet. Esetünkben ez a legkevésbé valószínű, hisz csak 
a szavak kezdetét gépelik be a felhasználók, így valószínűleg 
csak az összehasonlítandó stringek eleje egyezik meg. Ebben az 
esetben nem lenne logikus a BinarySearchnek azt mondania, 
hogy megtalálta a keresett elemet, így egy negatív számot ad 
vissza. Ha eme szám minden bitjét megfordítjuk az ellenkezőjé- 
re (erre szolgál a -, tilde operátor, egyes komplemens képzés), 
megkapjuk azt a pozíciót, ahová sorrendben beillik a keresendő 
string. Például legyen a listában: 


batka, bodri, bubu, 
juliska, laci, maci, micu 


buksi, cicu, cirmos, jancsi, 


A felhasználó begépeli a ,c" kezdőbetűt. Ekkor a BinarySearch - 
5-öt ad vissza. Ennek egyes komplemense: 4. Ez azt jelenti, hogy 
a ,c" mint string sorrendben a 4. index elem elé illeszkedik, ami 
a cicu. Ezért a 6. kódsor miatt a listában a cicu lesz kijelölve. A 
naci" szókezdetre a helyzet változatlan, de például ,.cif" szótőre 
már a , cirmos" a találat, mert a ,.cif" a , cicu" után következik. 
Az 5. kódsor azt a helyzetet kezeli le, amikor egy olyan szótö- 
redéket gépelnek be, ami sorrenden az összes listaelem mögött 
áll. Például , u". Ekkor túlcímeznénk a tömböt, ezért ebben az 
esetben ráállunk a legutolsó elemre. 

Azoknak, akiknek a ?: operátor furcsa lenne, átfordítottam az 
előbbi kifejezéseket közönséges elágazásokra: 


if (pos K 0) 
pos — -pos; 
if (pos 2- names.Count) 


pos - names.Count - 1; 
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Eredetileg a ?: operátort a nem túl okos C fordítók miatt vezet- 
ték be, a mai fordítókban egyformán gyors a kétféle konstruk- 
ció. Az előbbi tömörebb, de nehezebben olvasható, az utóbbi 
szószátyárabb, de a legtöbb ember számára valamivel könnyeb- 
ben értelmezhető. Kinek a pap, kinek a paplan... 


Hashtable 

Szeretjük az ArrayListet, azonban gyakran szükségünk van valami- 
lyen kulccsal indexelhető kollekciókra is. A .NET FCL Dictionary osz- 
tályai erre szolgálnak. Félreértés ne essék: ez nem azt jelenti, hogy 
a Dictionaryk csak stringkulcsokkal indexelhetők! Bármilyen típussal 
lehet, ami megfelelően implementálja a GetHashCode() metódust. 
Legyen az a harci feladat, hogy egy százéves .ini fájl tartalmát 
kell feldolgoznunk, és a többiek részére a lehető legkényelme- 
sebb módon tálalni. (A mai világban már xml formátumú lenne 
egy ilyen configfájl.) Például a C:XWINNTWIicrosoft.NETWrame- 
workWw1.0.3705Naspnet. perf.ini az ASP.NET futtató által publi- 
kált teljesítményszámláló (performance counter) szimbólumokat 
sorolja fel. Valahogy így: 


[info] 

drivername-ASP.NET. 1.0.3705.0 

symbolfile-aspnet perf.h 

:; ASP.NET System Counters 

[text] 

ASPNET. RERUESTS. RUEUED. 007 NAME-Reguests dueued 
ASPNET. RERGUESTS. RUEUED. 0093 HELP-The number of 
reguests waiting to be processed. 

ASPNET. REGUESTS TOTAL RATE 007 NAME-Reguests/Sec 
ASPNET. REGUESTS. TOTAL RATE. 009 HELP-The number of 
reguests executed per second. 


Azaz [] között találhatjuk a szekcióneveket, név-érték párokban 
pedig a szekció adatait. Minden egyes teljesítményszámlálónak 
van egy neve és egy magyarázó szövege. Esetünkben ezek szisz- 
tematikusan egymás után jönnek, bár ezt a feldolgozáskor nem 
fogjuk kihasználni. A ;-vel kezdődő sorok kommentek, azokat ál- 
talában nem érdemes feldolgozni. 

A feldolgozáskor csak egy szekcióra vagyunk kívánsiak ezért az egy- 
szerűség kedvéért csak azzal foglalkozunk, a többi adatát átlépked- 
jük. A megvalósítandó feldolgozóosztály interfésze így fog kinézni: 


public interface IlniReader ( 
void LoadlniFile(string filePath, 


EBUS: BT, 
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string sectionName); 
Hashtable GetSectionEntries( ) ; 


Azért definiáltam egy interfészt a feldolgozáshoz, mert lé- 
tezhetnek különböző formátumú .ini fájlok, amelyekhez termé- 
szetesen különböző értelmezőosztályokat kell írni. A felhaszná- 
lói programunk az interfészen keresztül fog valamely konkrét 
implementációval dolgozni, de nem kell tudnia arról hogy az mi- 
lyen típusú .ini fájlt olvas fel. Így a későbbiekben az .ini szer- 
kezetének megváltozása nem lesz látható, nem kell átírni a fel- 
használó programokat, csak más implementáló osztályból kell 
egy példányt létrehozni. Ez az interfészalapú programozás egyik 
legnagyobb előnye. 00P terminológiával élve csökkenti a csato- 
lást a hívó és a hívott osztályok között. 

A LoadlniFile() működése a következő: 

"2 soronként felolvassuk az .ini fájlt 

"b levágjuk a sor kezdő és záró whitespace karaktereit 

0 átlépjük az üres sorokat 

"0 a ;-vel kezdődő sorokat eldobjuk 

2 addig olvasunk üresen, amíg el nem érjük a fájl végét, vagy 
nem találunk egy [szekciónév] kezdetű sort ( ] után még le- 
het komment) 

- megjegyezzük, hogy a kívánt szekcióban vagyunk, és addig 
olvassuk a sorokat, amíg egy újabb szekció nem kezdődik 
( ( a sor elején) 

"2 a kapott sorokat kettévágjuk a ; mentén, csak az eleje érdekes 
(a végén komment is lehet) 

0 a kettévágott sor első felét kettévágjuk az - mentén 

a darabok végeiről levágjuk a whitespace-eket 

-0 a darab első felét mint kulcsot használva elmentjük a 
Dictionarynkbe a második felet, a kulcshoz tartozó értéket 

Lássuk hogyan néz ez ki Ct-ra lefordítva. A tömörség kedvéért a 

megjegyzéseket eltávolítottam a kódból, de az [1] címen meg- 

található a teljes, rendesen kommentezett forrás. 


5 


public class WindowsIniReader: IIlniReader ( 
private enum IniReaderState ( 

InSection, 

OutSection 
) 
private string filePath; 
string sectionName; 
bool foundSection - 
Hashtable sectionData; 


StreamReader reader; 


private 
private false; 
private 


private 


public WindowsIniReader( ) ( 


sectionData - new Hashtable(); 


tregion Implementation of IIlniReader 
public bool LoadlniFile(string filePath, 
string sectionName) ( 
this.filePath - filePath; 
this.sectionName - sectionName; 
try ( 
reader - new StreamReader(filePath); 
LoadlniFilelmpl( ) ; 
return foundSection; 
j 
finally ( 


vorkinűg vith 
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if (reader !- null) 


reader.Close( ); 


public Hashtable GetSectionEntries() ( 
if (foundSection) 
return sectionData; 
else 
return null; 
) 


tendregion 


private void LoadlniFilelmpl() ( 
string line; 
string sectionString - 
sectionName t 


er 

sg; 

IniReaderState state - 
IniReaderState.OutSection; 


while ((line - reader.ReadLine()) !- null) ( 
line - line.Trim(); 
16 (1ána am ss gi linat0) az rsr 
continue; 


switch(state) ( 
case IniReaderState.OutSection: 
if (line.StartsWith(sectionString)) ( 


state - IniReaderState.InSection; 
foundSection - true; 
) 
break; 


case IniReaderState.InSection: 
if (line.StartsWith("[")) ( 
state - IniReaderState.OutSection; 
) 


else ( 
line - 
line.Split(new char[] ( ";"), 1)[(D]; 
string[(] namevalue - 
line.Split(new char[] ("5"), 2); 


if (namevalue.Length —-—- 2) ( A. 
sectionData.Add( 
namevalue[0].Trim( ) , 
namevalue[1].Trim( ) ) ; 


Olvastassunk fel egy .ini fájlt az előbbi osztály használatával! A 
fájlnevet bekérjük a felhasználótól (WinForms alkalmazás): 


Hastable perfNames; 
OpenFileDialog fd -— 
fd.Filter -— 
"Ini fájlok(t.ini)lt.inilMinden fálj(t.$)lr.r"; 
if (fd.ShowDialog() -- DialogResult.0K) ( 
IIlniReader reader - new WindowsIniReader ( ) ; 


new OpenFileDialog(); 


E 
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reader.LoadlniFile(fd.FileName, "text"); 
perfNames - reader.GetSectionEntries( ); 


Látható, hogy a WindowsIlniReader osztályból hozunk létre egy 
példányt, de azt az IIniReader interfészen keresztül ragadjuk meg. 
Így más .ini olvasó implementációk használatához csak a new után 
kell kicserélni az osztály nevét, semmi más teendőnk nincs. 
Hogyan érjük el a beolvasott számlálók jellemzőit? Például sza- 
ladjunk végig az összes beolvasott elemen, és szedjük ki a szá- 
munkra fontosakat: 


foreach(DictionaryEntry perf in perfNames) ( 

string symbol - (string)perf.Key; 

string text - (string)perf.Value; 

77/Az ASPNET. kezdetűek a tényleges 

//teljesítményszámlálók, a O0D jelzi a 

//nyelvsemleges verziót 

if (symbol.Startsllith("ASPNET ") aa 
symbol.EndsWith(" OOO NAME" )) ( 


Mi az a DictionaryEntry? Egy Dictionary-t bejárva mindig név-ér- 
ték párosokat kapunk vissza. Ilyen párost egy egyszerű típus 
nem tud eltárolni, ezért pont a bejáráshoz definiálták ezt az 
osztályt. Látható, hogy a Key jellemzőn keresztül kiolvasható az 
aktuális elem kulcsa, míg a Value-n keresztül az értéke. 

Ha ismerjük valamely kulcs értékét, akkor az alapján könnyedén 
meghatározható a hozzá tartozó tárolt érték: 


MessageBox.Show( (string)perfNames[ 
"ASPNET. REGUEST. EXECUTION TIME 000 NAME" ]) ; 


Olyan, mint a sima tömb, csak nem egészekkel, hanem most egy 
striggel címeztük meg a tartalmát. Mind a kulcs, mind a tárolt érték 
általános object típusú. Emiatt kiolvasáskor állandóan stringgé kel- 
lett konvertálnunk a visszakapott értéket. Ez felesleges teljesítmény- 
veszteséget okoz, és még kényelmetlen is. Ha kifejezetten stringeket 
kell tárolni stringkulcsokkal címezve (nálunk is ez a helyzet) , jobban 
használható a StringDictionary osztály. Ebben a kulcsok és az érté- 
kek is stringek, de vigyázzunk arra, hogy a kulcsok összehasonlítása 
case insensitive (kis-nagybetű érzéketlen) módon történik. 

Az előbbi példánkat befejezendő jó lenne megjeleníteni a felol- 
vasott teljesítményszámlálók értékét. Minden egyes teljesítmény- 
számláló valamilyen kategóriába tartozik. Ezeket hívja a Perfor- 
mance Monitor Performance Objectnek. Az .ini fájl [objects] szek- 
ciója felsorolja ezeket, ám a számlálók és a kategóriák összeren- 
delését csak a kommentezett sorok vizsgálatával tehetjük meg, de 
ezt sem lehet megtenni tisztán gépi úton. Emiatt, listánk alapján 
csak csúnya hekkeléssel lehet megjeleníteni a számlálókat. Ter- 
mészetesen erre a célra a Performance" kezdetű osztályok vannak 
kitalálva, azokkal végig lehet gyalogolni és kiolvasni a számláló- 
kat. A megjelenítő WinForms alkalmazás letölthető a [1] címen. 
A példában megfigyelhető hogyan kell nyújtható ablakot létre- 
hozni, hogyan kell egy szál prioritását állítani, vezérlőket dinami- 
kusan létrehozni, kurzort módosítani, na és felhasználjuk az előb- 
bi .ini olvasó osztályt is. 


SortedList 

A SortedList a Hashtable és az ArratList hibridje. Kulcs-érték páro- 
kat tárol mint a Hashtable, de az elemek elérhetők egész indexek- 
kel is. A lista belülről és kívülről nézve is rendezett, de nem a kul- 
csok hashkódja (ami kívülről teljesen haszontalan), hanem maguk 
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a kulcsok alapján. Ehhez természetesen a kulcsoknak 
implementálni kell az IComparable interfészt, aho- 
gyan az előző részben láttuk. 

Nézzünk a használatára egy példát. Nosztalgiából 
felolvastatjuk a system.ini 386enh szekcióját, először egy 
Hastable-be: 


A 


IIlniReader reader - new WindowsIniReader ( ) ; 

reader.LoadlniFile(6€"C:MWINNTNSystem.ini" , 
"38benh"); 

Hashtable ht - reader.GetSectionEntries( ) ; 

ShowDictionary(ht); 


static void ShowDictionary(IDictionary dick) ( 
foreach(DictionaryEntry ent in dick) ( 
Console.Write( (0): ", ent.Key); 
Console.WriteLine(ent. Value) ; 


EGAHOWOA. FON: EGAYOWOA.FON 
FileSysChange: off 
CGABOWOA. FON: CGABOWOA.FON 
CGAHOUWOA. FON: CGAHOWOA . FON 
EGABSOWOA. FON: EGABOWOA.FON 
woafont: dosapp.FON 


A kimenet teljesen véletlennek ható sorrendben látható, valójá- 
ban az első oszlop (kulcs) hashkódjai szerint van rendezve, 
amelyet a string.GetHashCode() generál a háttérben. 

Figyeljük meg, hogy a kollekció bejárásához definiált metódus- 
ban (ShowDictionary()) nem Hastable referenciát várunk, ha- 
nem IDictionary-t. Mivel a SortedList és a Hashtable is imple- 
mentálja ezt az interfészt, egységesen tudjuk őket kezelni. 
Töltsük át a Hashtable tartalmát a SortedListbe, és listázzuk ki 
a tartalmát: 


SortedLlist sl - new SortedList(ht); 
ShowDictionary(s1); 


CGAHOWOA . FON: 
CGABOWOA . FON: 
EGAUOWOA . FON: EGAYOLWWOA.FON 
EGABOWOA. FON: EGABSOWOA.FON 
FileSysChange: off 
woafont: dosapp.FON 


CGAHDWOA , FON 
CGABOWOA . FON 


Látható, hogy a két lista közötti átjárás nem túl bonyolult 
(megint csak az IDictionary miatt). A kimenet ezúttal a kulcsok 
szerint rendezve jött elő. Nézzünk olyan tartalmat, amiben a 
kulcsok kis-nagybetűben különböznek: 


s1.Clear(); 

s1l.Add( "maci", "a medve"); 
s1.Add("1laci", "szintén medve"); 
s1l.Add("Maci", "a medve"); 
s1.Add("Laci", "szintén medve"); 
ShowDictionary(s1); 


laci: szintén medve 
Laci: szintén medve 
maci: a medve 
Maci: a medve 
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Látható, hogy stringkulcsok esetén az összehasonlítás, 

így a rendezettség is nem érzékeny a kis-nagybetűre, 

így került az ,l" után az ,L", illetve az , m" után a ,M". 

A kulcsok közötti egyenlőség vizsgálata kis-nagybetű ér- 

zékeny, máskülönben a SortedList nem engedte volna meg a 

laci" után berakni a ,Laci"-t, hisz a kettőt egyenlőnek tekintené, 
és egy Dictionary-ban nem lehetnek duplázott kulcsok. 

Ha nekünk nem megfelelő ez a működés, a konstruktorban átad- 

hatunk egy IComparer implementációt, ami kis-nagybetű érzé- 

ketlen módon hasonlít. össze két stringet. Ilyen kész megvalósí- 

tás a CaselnsensitiveComparer osztály: 


SortedList sl - new SortedList( 
new CaselnsensitiveComparer ( ) ) ; 


Alapértelmezésben a SortedList a Comparer osztály Default jel- 
lemzőjén keresztül kér le egy kis-nagybetű érzéketlen IComparer 
megvalósítást, azaz koncepcionálisan ez történik benne: 


SortedList sl - new SortedList(Comparer.Default) 


Próbáljunk meg berakni csak kis-nagybetűben különböző kul- 
csokkal elemeket a CaselnsensitiveComparer használata mellett: 


s1l.Add("maci", "a medve"); 
sl.Add( "Maci", "a medve"); 
System. ArgumentException: 
added. Key in dictionary: "maci" 
"Maci" 


Item has already been 
Key being added: 


A SortedList belülről két tömböt tartalmaz: egyet a kulcsoknak, 
amelyet a módosítások során is rendezve tart, egy másikat az 
értékeknek. Így a kulcs alapján ebben is gyorsan lehet keresni, 
habár nem annyira gyorsan, mint a Hastable-ben, hisz itt a bi- 
náris keresésnek nem 32 bit hosszú hashkódokat kell összeha- 
sonlítani, hanem az eredeti méretű kulcsokat: 


//Keresés kulcs alapján (közepesen gyors) 
Console.WriteLine(sl["1laci"]); 
a medve 


A kettős belső kialakítás célja, hogy az elemeket el lehet érni 
egész indexekkel is. Ehhez azonban nem a szögletes zárójeles 
(indexer) formátumot használjuk, mert azon keresztül a kulcs 
alapján lehet kiolvasni az értékeket, hanem a GetKey() és a 
GetByIndex() metódusokat: 


//Keresés index alapján (nagyon gyors) 
Console.WriteLine(s1.Getkey(2)); 

maci a 
Console.WriteLine(s1.GetByIilndex(2)); 

a medve 


Az indexekkel történő elérés természetesen extrém gyors, hisz 
belül egyszerű tömbelérés történik. 
Az értékek alapján is kerestethetünk: 


7//Keresés értékek alapján (lassú) 
Console.bWriteLine( 

s1.ContainsValue( "szintén medve" )); 
True 
Console.WriteLine(s1.ContainsValue( "blabla" ) ) ; 
False 
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Az értékek szerinti keresés átmegy lineáris keresésbe, így nyil- 
vánvalóan ez a leglassabb keresési módszer a SortedListben. 


BitArray 

Egyszerű, de időnként jól használható osztály a BitArray. Belül- 
ről bitenként ábrázol egy igen/nem értéket, azaz kívülről egy bit 
értékét boolként láthatjuk. 


//4l bit hosszú bittömb, minden elem D értékű 

BitArray barr - new BitArray(4l, false); 

//Beállítjuk a 23. bit értékét 1-be 

barr.Set(22, true); 

//Megfordítjuk a biteket 

barr.Not( ) ; 

//Kiíratjuk a biteket 

foreach(bool bit in barr) ( 
Console.Write(bit ? 1 : 0); 

) 

Console.hWriteLine( ) ; 


22222222222222222222220222222222222222122 


Kicsit talán furcsa, hogy az IEnumerable interfész segítségével (a 
foreach használja) be lehet járni egy bittömböt, de miért is ne? 


Típusos kollekciók 

Ha típusos kollekcióra van szükségünk, viszonylag keskeny pal- 
lón kell mozognunk. 

Stringekhez találunk némi segítséget. A System.Collections.Spe- 
cialize névtérben a StringCollection olyan, mint az ArrayList, 
csak stringeket tárol típusos módon. A StringDictionary a Hash- 
table-höz hasonlít, csak stringek a kulcsok és a tárolt értékek is. 
A NamevValueCollection hasonló a SortedListhez, de minden 
egyes string kulcshoz több string értéket is tud tárolni. Ilyenek- 
kel gyakran találkozunk, például gondoljunk az alábbi http 
guerystringre: 


x.aspx?listlspiros$listlzbarnageditl-kukac 


Ebben egy kulcshoz (list1) több érték is tartozik (piros, barna). 
Az ilyen jellegű információk feldolgozására találták ki a Named- 
ValueCollectiont. 


NameValueCollection nvc - new 
NameValueCollection( ) ; 
nvc.Add("1listL", "piros"); 
nvc.Add("1listl", "barna"); 
string(] elemek - nvc.GetValues("listl"); 
Console.WriteLine(elemek[0D] ) ; 
Console.WriteLine(elemek[21] ) ; 


//piros 
//barna 


Egyéb típusos kollekciók írásához nyújtanak segítséget a Collec- 
tionBase, DictionaryBase, és a NameObjectCollectionBase osztá- 
lyok. Ha érték szerinti típusokat akarunk konverziók és boxolás 
nélkül tárolni, a [1] címen a STColl.cs-ben található megoldás 
osztály nyújthat segítséget. 
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System: Event Sinkek 


Véleményem szerint az egyik legizgalmasabb dolog az informatikában az, 
amikor a dolgok , maguktól történnek". Levelek jönnek-mennek, dokumentumok 
megváltoznak, mintha valami eleven kobold ülne a gépünk belsejében. A kobold 
megszelídíthető, sőt engedelmességre is kényszeríthető, 

csak meg kell tanulnunk, hogyan szóljunk hozzá. A jelszó: Event Sink! 


Ami a háttérben van 

A háttérben a Web Storage System Event Sinkjei lapulnak. Ezek 
olyan COM4- komponensek, amelyek beregisztrálásuk után folya- 
matosan figyelik a WSS-t. Amennyiben olyan esemény történik, 
amely őket érinti, lefutnak, végrehajtják előre definiált felada- 
tukat: például abortálják a műveletet, értesítést küldenek adott 
személynek, adatokat mozgatnak a WSS-en belül stb. Négy alap- 
vető típust különböztetünk meg: 

0 szinkron események 

0 aszinkron események 

0 rendszeresemények 

0 időzített események 

A szinkron események végrehajtása további három fázisra bont- 
ható: BEGIN, COMMIT és ABORT. A BEGIN-re akkor kerül sor, ami- 
kor már tudjuk, mi lesz az esemény, amire reagálunk, azonban az 
még nem indult el. Ily módon minden elkapható, még mielőtt bár- 
mi történne. Így akár le is tilthatjuk a műveletet, anélkül, hogy az 
bármily apró dolgot tenne (például dokumentum törlésekor lehet 
hasznos ez a funkció). Ha az esemény rendben lefutott, a futás az 
Event Sink COMMIT ágára kerül, mielőtt visszaadná a vezérlést. Ha 
az esemény meghiúsult, az ABORT ágat hajtja végre a rendszer. 





5 Sikeres esemény lefolyása szinkron Event Sinkkel 


Aszinkron Event Sink esetén az általunk előírt folyamat az ese- 
mény bekövetkezte után hajtódik végre, meghatározatlan idő 
eltelte után. Ez az idő sok mindentől, például a processzor ter- 
heltségétől, egyéb eseményektől függ. Pontosan az eltelt idő 
határozatlansága miatt képes látszólag determinisztikus dolgo- 
kat művelni, amelyek fejre állíthatják még a legtapasztaltabb 
programozót is. Erről még később szólok. 
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A rendszeresemények, mint azt a nevük is mutatja, a rendszer 
állapotára reagálnak: a rendszer indulásakor illetve leállításakor 
futnak le. 

Az időzített események (gondolom, nem meglepő módon) bizo- 
nyos, általunk előre definiált időközönként futnak le. Például 
archiváláskor lehetnek hasznosak. 


Event Sinkek létrehozása 

Most lássuk, hogyan hozhatunk létre egy egyszerű Event Sinket. 
Tegyük fel, azt szeretnénk megvalósítani, hogy a WSS minden új 
e-mail érkezésekor küldjön értesítést erről a controller nevű fel- 
használónak. Ezt nyilván aszinkron módon érdemes megvalósí- 
tani, mert nem szükséges a beavatkozás menet közben. 


Option Explicit 
Implements Exoledb.IEXStoreAsyncEvents 


Private Sub IEXStoreAsyncEvents ÖnDelete (...) 
End Sub 


Private Sub IEXStoreAsyncEvents OnSave (ByVal 
pEventlnfo As Exoledb.lIexStoreEventInfo, ByVal 
bstrURLItem As String, ByVal 1Flags As Long) 
With new CDO.Message 

.From - "felado6encegem.hu" 
.To - "controllereencegem.hu" 
.Subject - "Uj e-mail erkezett" 
. HTMLBody - "Cb2Uj e-mail erkezett. 


WHelye:€/b2" 8 bstrURLItem 


. HTMLBody - .HTMLBody 4§ "Cbr2kboDatum: €/b2" 
. HTMLBody - .HTMLBody $t Date $ " " 4§ Time 
. Send 
End With 
End Sub 


Mi is történik itt? Az OnSave metódus akkor kerül végrehajtás- 
ra, amikor a levél már beérkezett a megfelelő mailboxba, vagyis 
WSS mappába. Aszinkron módon vizsgáljuk ennek bekövetkezé- 
sét, tehát pontosan nem tudhatjuk, mikor kerül sor az esemény- 
kezelő futására, csak abban lehetünk biztosak, hogy addigra a 
levél már beérkezett a címzetthez. 

Az e-mailt CDO segítségével küldjük: beállítjuk a feladót, a cím- 
zettet, a levél tárgyát, és törzsét, majd a .Send metódus segít- 
ségével elküldjük. Ennyi az egész... 


eUZ. BRG 
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Másik jó példa lehet az, ha nem akarjuk engedni, 
hogy bármit is töröljenek egy számunkra fontos 
mappából. Ez szinkron Event Sink lesz, hiszen bele 
akarunk avatkozni az esemény lefolyásába, azt akar- 
juk, hogy az ne legyen végrehajtható. 
Az ehhez tartozó programkód rendkívül egyszerű: 


Option Explicit 
Implements Exoledb.IEXStoreSyncEvents 


Private Sub IEXStoreSyncEvents.OnSyneDelete 
(ByVal pEventIlnfo As Exoledb.IexStoreEventlínfo, 
yVal bstrURLItem As String, ByVal 1Flags As Long) 
If 1Flags And EVT. SYNC BEGIN Then 
Dim iEventlnfo As 
Exoledb. IExStoreDispEventInfo 
Set iEventlnfo - pEventInfo 
iEventIÍInfo.AbortChange 
End If 
End Sub 


Private Sub IEXStoreSyncEvents OnSyncSave (...) 
End Sub 


Szinkron eseménykezelőről lévén szó, az esemény végrehajtásá- 
ba történő beavatkozást már az esemény bekövetkezése előtt 
meg kell tennünk. Ennek vizsgálata történik az if sorban, az 
(Flags segítségével. Az esmény egyes fázisai: 


EVT SYNC BEGIN 


EVT SYNC COMMIT 





EVT SYNC ABORT 
valamilyen 


A blokk belsejében létrehozunk egy iEventinfo nevű változót, 
amely az IExStoreDispEventinfo interfészt implementálja. En- 
nek átadjuk a paraméterként kapott pEventilnfo értékét, és 
ezen hajtjuk végre az AbortChange metódust. 


Megírtuk tehát a kódokat, most készítsünk ezekből DLL-t. Ha ez- 
zel is megvagyunk, jöhet a COM-- regisztráció: a Component Ser- 
vices-t megnyitva (Start menü, Administrative Tools) hozzunk lét- 
re a gépen saját applikációt: Component Services/Computers/My 
Computer/COM-t- Applications/ jobb egérgombbal New Applicati- 
on. Az ,Install or Create a New Application" ablakban válasszuk a 
,Create an empty application" lehetőséget. Adjunk neki egy szá- 
munkra megfelelő nevet, majd jelöljük ki, hogy Server applicati- 
on-t szeretnénk létrehozni. 


vérking with 





Welcome to the COM Application Install Wizard 


Cr Ei Application a 
gzése dsg szinet ENÁMEESBÉBR TA 





Enter a name for the new application 
MmywsSEventSinkd 
"Aciivation lype——— — 


élte ek 
Components will be acíívatedin the creators process. 

€ Server application 

Components wilbe activatedin a dedicated server process. 











! 


evek [TEST] (teren 
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5 Új szerveralkalmazás létrehozása 


A következő ablakban azt adhatjuk meg, hogy mely felhasználó 
jogaival fusson majd az eseménykezelőnk. Kijelölhetjük, hogy 
az éppen aktuálisan belépett felhasználó nevében, vagy például 
konkrétan Béla jogosultságaival férjen hozzá az Event Sink a 
WSS-hez. Az utolsó ablakban klikkeljünk a Finish gombra, és már 
kész is a saját COM-- alkalmazásunk. Már csak azt kell megmon- 
dani neki, hogy tulajdonképpen mit is csináljon. 

A Component Services ablakban álljunk rá a MyWSSEvent- 
Sinks/Components csomópontra, majd jobb egérgombbal törté- 
nő klikkelés után jelöljük ki a New Component menüpontot. Ha 
kiválasztjuk az Install New Component(s) lehetőséget, megad- 
hatjuk a DLL-ünk elérhetőségét. A következő ablakban láthatjuk 
a felvett komponenst, és újabbakat is adhatunk hozzá. 








Welcome to the COM Component Install Wizard BESE 2 
kastull na components úa 
Please specily the fiefs) that contain the component: you want to install y 1) Í 





Cick Add to choose the file(s) that contain the components you went to install 


Files toinztalt 
Hemove 


[7 Details 





CWocuments and Settings Vádministratot,.. . components. typelib 





] 
! 
$ Back Next; Cancel ! 





5 Új komponens felvétele 


tech.net 


ZEUSZ. ÜT: 


Megvan a DLL, beregisztráltuk, most már csak azt kell megmon- 
dani, hogy hova csücsüljön a koboldunk, vagyis hogy mely WSS- 
mappákat figyelje. Ezt legegyszerűbben az Exchange Explorer se- 
gítségével tehetjük meg. Kapcsolódjunk a kívánt mappára, majd 
a Detail View nézetben jobb egérgombbal kattintsunk az Items- 
re, és válasszuk ki az Event Registration Wizard menüpontot. 

A varázsló a következő dolgokra kér bennünket: először is meg 
kell adnunk az Event Sink nevét. A következő ablakban azt kell 
definiálnunk, hogy milyen típusú eseménykezelőt kívánunk ép- 
pen beregisztrálni: szinkron, aszinkron, rendszer, vagy időzí- 
tett. Ennek megfelelően a következő lépés az, hogy megadjuk, 
mely metódusok lényegesek számunkra (hiszen a dll-nek tartal- 
maznia kell az összes, adott típushoz tartozó metódust, még ha 
azok törzse üres is). Az Event Sink scope-ja lehet deep, exact 
vagy shallow, annak megfelelően, hogy az alatta- és fölötte lé- 
vő mappákat akarjuk-e vizsgálni. Végül meg kell adnunk, hogy 
beregisztrált COM komponenst, vagy scriptet szeretnénk futtat- 
ni, és meg kell adni ennek elérését is. 

Jöhet a próba! Hozzunk létre egy új elemet a megfelelő mappá- 
ban (akár közvetlenül az Exchange Explorerből, akár más alkalma- 
zásból), és figyeljük a controller leveleit! Néhány másodpercen 
belül megérkezik az értesítés: valami történt... 

Most próbáljuk meg törölni ezt az elemet, először az Explorer- 
ből. A törlés lehetetlen! Lássuk, mi történik, ha a furfangos fel- 
használó a WSS-t fájlrendszernek tekinti, és az M: meghajtóról, 
Windows Explorerből kísérli meg a törlést. Az e-mailt sikerült ki- 
törölni! Most akkor mire is jó ez az egész?! 
Álljunk meg egy pillanatra, és nézzünk szét 
egy kicsit jobban: az Exchange Explorerhez 


A WSS 20 percenként 


keznek e-mailek, automatikusan átkerüljenek egy 
másik mappába, például azért, mert a címzett a 
hroencegem.hu, és szeretnénk, ha ez automatiku- 
san eljutna az éppen aktuális HR vezetőhöz, mondjuk 
a gizikeDencegem.hu címre. 

Mit lehet tenni? Próbáljuk ki mindkét lehetőséget, először tehát 
kísérletezzünk szinkron módon. Nyilván a levelet akkor kell át- 
mozgatni, amikor már bekerült a helyére, tehát az esemény be- 
következése után: COMMIT. 

Az Event Sink regisztrálása után Gizike szépen kapja a leveleket, 
megnyugodhatunk. 

Igen ám, de egyszer csak egy furfangos felhasználó az önéletraj- 
zát és fényképét is mellékeli a levélhez, és HR-es munkatársunk 
sikítva tör ránk: nem kapja meg a csatolt fájlokat a levelekkel! 
Nem baj - gondoljuk -, biztosan azzal van baj, hogy szinkron 
eseménykezelőt használunk, és talán a WSS mélyén élő kobol- 
dok tréfálkoznak. Majd mi kifogunk rajtunk! Tegyük át az egé- 
szet aszinkron módba. Miután ezzel készen vagyunk, már óvato- 
sabban járunk el, és elkezdjük próbálgatni, mi történik, ha csa- 
tolt állomány is van a levél mellett. 

Borzalom: ezek most sem mozdulnak el a levéllel, útközben va- 
lahol elvesznek. Vagyis... Ha kellően sokszor próbálkozunk, azt 
tapasztalhatjuk, hogy időnként mégis megérkeznek. Időnként. 
Először nyilván arra gondolunk, hogy talán a csatolmány típu- 
sától, darabszámától stb. függ az átvitel sikeressége, de azt ta- 
pasztaljuk, hogy nem. A dolog teljesen determinisztikus, és vi- 
szonylag kis százalékban sikeres az átvitel. 

Mindezekből a következő tanulságot von- 
hatjuk le: a kódunk feltehetően nem rossz, 





visszatérve frissítsük a nézetet, és lám: az aktualizálja a tartalmát és vinné magával a csatolmányokat is. De 


általunk törölt elem ott van a helyén! A 

Windows Explorerben nincs! Mi ez az egész?! 

Most menjünk el kávézni, akár ebédelni is, a lényeg, hogy 
legalább 20 percig hagyjuk békén a WSS-t. A pihenő közben 
gondoljunk valami másra, ne ezen törjük a fejünket, úgyis ha- 
marosan választ kapunk mindenre! 

Ha eltelt a megfelelő idő, frissítjük a Windows Explorert, és 
csodát láthatunk: a törölt elem visszakerült a helyére! Most 
akkor tényleg: mi is történik itt? A fájlként törölt elem a WSS- 
ben ott maradt, hiszen onnan nem törölhetjük ki - épp az 
előbb tiltottuk meg. A WSS 20 percenként aktualizálja a tar- 
talmát, ezért láthattuk úgy, mintha az elem eltűnt volna, és 
ezért került vissza, amíg mi kávézgattunk. Nem szomszéd kol- 
légánk tréfált meg bennünket! 


Event Sinkek felülírása 

Ha menet közben derül ki, hogy az Event Sinkünket egy kicsit 
még át kellene írni, de már beregisztráltuk, és szépen működik, 
semmi pánik, nem kell mindent elölről kezdenünk. Elég leállíta- 
ni a COM4 objektumot (Component Services, Shut down), újra- 
fordítani a DLL-t, és már működik is! 


Levelek attachmenttel 

Most lássunk egy kis csemegét. 

Nemrégiben bemutattam, hogyan lehet létrehozni e-maileket, 
illetve csatolmányokat fűzni hozzájuk. Most oldjuk meg azt ese- 
ménykezelők segítségével, hogy ha egy bizonyos mappába ér- 
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valami közbeszól, valami, ami mélyebben 
rejtőzik... 
Nem csigázom tovább a kedélyeket, elárulom a megoldást: ko- 
rábban láthattuk, hogy az e-mailek létrehozása, és a csatolmá- 
nyok hozzáfűzése két külön lépés. 
Amikor szinkron eseménykezelőt használtunk, a COMMIT-ot 
vizsgáltuk. Mikor is következik ez be? Először akkor, amikor az 
e-mailt létrehozzuk, majd még egyszer, amikor hozzáfűzzük a 
kívánt állományt. Az eseménykezelő az első COMMIT észlelése- 
kor végrehajtja a megfelelő kódot, és áthelyezi az e-mailt. A 
csatolmányt már nincs is hova mentenünk, hiszen az e-mail már 
nem is létezik ekkor, ,kirántottuk" alóla! 
Aszinkron esetben néha működik a kód. Lássuk, mi az oka en- 
nek. Az aszinkron eseménykezelők akkor futnak le, amikor az 
esemény már befejeződött, de nem tudni, pontosan mennyi idő- 
vel utána. Ha a gépünk terheltsége kicsi, jó eséllyel nagyon rö- 
vid időn belül. Kellően hamar ahhoz, hogy a csatolmányokat 
még ne is hozzuk létre! Ha az eseménykezelő egy kicsit később 
jut szóhoz, addigra már hozzáfűztünk az e-mailhez mindent, 
amit szerettünk volna, így ezek is áthelyeződnek vele együtt. 
Furfangos dolgok ezek. Sok időbe és programozói verejtékbe kerül, 
amíg pontosan kitapasztaljuk, hogyan is lehet megszelídíteni a ko- 
boldokat. De megéri, mert azután már készségesek és segítőkészek. 


Molnár Ágnes 
agnes.molnar Ot-systems.com 
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Új javítócsomag jelent meg az Excel 2000, Excel 2002 és a Word 
2002-es Microsoft programokhoz, mely az MS02-031-es számot 
viseli [1]. Ezek a javítások az eddig ismert hibákon kívül négy 
új biztonsági rést tömnek be. 

Az egyik biztonsági rés az Excel makrókezeléséből adódik. Ha a 
munkafüzetbe olyan objektumokat ágyazunk, melyekhez makrók 
kapcsolódnak, ezek a kódók automatikusan lefutnak, kikerülve 
az Excel makrókra vonatkozó biztonsági beállításait. 

Szintén Excel makrók futtathatók automatikusan, ha egy mun- 
kafüzetet egy hiperlinken keresztül nyitunk meg. A futtatható 
utasítások itt is éppúgy átcsúsznak a biztonsági beállításokon 
mint az előző esetben. 

HTML oldalakba ágyazott scriptek futtathatók a helyi zónában (így 
valószínüleg alacsonyabb védelmi beállítások mellett), ha a scriptet 
egy XSL stylesheetbe ágyaztuk és ezt Excelben megnyitjuk. 

A Word körlevelek egy újabb biztonsági rését is megtalálták. Ez a 
változat lehetővé teszi, hogy a rosszindulatú támadók a védelmi 
beállításokat kikerülve automatikusan futtassa kódját. Ez azon- 
ban csak akkor lehetséges, ha a rendszerünkön megtalálható a 
Microsoft Access és a körlevelet HTML formátumba menettük el. 
Ezeken a hibákon kívül persze még egyéb hibák javításait is tar- 
talmazzák az update-ek, ezek közül szemezgetünk majd néhányat. 
Mielőtt azonban hozzáfognánk, néhány telepítéssel kapcsolatos 
információról lesz szó. Mindhárom javítás esetén elengedhetetlen, 
hogy az update telepítése előtt bizonyos javítócsomagokkal ren- 
delkezzünk. Excel 2000 esetén ez az Office 2000 SR1, Excel 2002 
és Word 2002-nél pedig a Microsoft Office XP SP1 az előfeltétel. 
A javítások telepítése után azokat már nem tudjuk eltávolítani, 
sőt, ha újra próbálkozunk a telepítéssel, rendszerünk közli, hogy 
a javítócsomag már rendszerünk része. Azt, hogy a telepítés si- 
keresen befejeződött, az adott program verziószámán ellenőriz- 
hetjük. Az új verziószámok a következők: 

Excel 2000 esetén: 9.0.6508 

Excel 2002 esetén: 10.0.4109.0 

Word 2002 esetén: 10.0.4109 

Végül nézzünk egy-két hibát, melyeket az adott javítással kikü- 
szöbölhetünk. 


Excel 2000 SR-1 Update 

"0 Ha egy fájlt bináris szinten megváltoztattak, előfordulhat, 
hogy átcsúszik a macro védelmi beállításain. 

"2 Amikor egy olyan Excel fájlt nyitunk meg, melyet egy vírus- 
kergető már fertőzöttként regisztrált, előfordulhat, hogy az 
Excel nem figyelmeztet minket, hogy a fájl makrókat tartal- 
maz. Így ,tudtunkon kívül" engedélyezzük a további táma- 
dásokat rendszerünk ellen. 

"2 Ha pár másodpercnél tovább tartjuk tartva a bal egérgombot, 
a CPU leterheltsége felugrik 10099-ra. 
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Patchwork: 
Javítások Excelhez 


Wordhöz 


"2 Ha egy Excel fájlt egy 255 karakternél hosszabb URL-lel nyitunk 
meg, előfordulhat, hogy a következő hibaüzenettel találjuk 
magunkat szembe: 

File name is locked for editing by "user name". 


Excel 2002 Update 

2 Ha az Excelt terminálon keresztül használjuk és onnan nyom- 
tatunk, a nyomtatandó dokumentum minden aktív terminál- 
ablak nyomtatóján megjelenik. 

-0 A digitális aláírás törlődik a dokumentumból, ha automatikus 

mentés történik. 

Amikor egy Excel dokumentum olyan makrót tartalmaz, amely 

a dokumentum megnyitásával automatikusan elindulna és 

ezt mi nem engedélyezzük, az Excel azonnal bezáródik és 

".2147417848"-as számú hibát generál. 

0 Amikor egy olyan Excel Web lekérdezést (.igy) szeretnénk 
megnyitni, amely egy hosszú hivatkozást tartalmaz, az Excel 
automatikusan bezáródik. 

2 Egy előző javításból származó hibát is javíthatunk. Ha egy 
olyan Excel dokumentumot nyitunk meg, amely beágyazott 
objektumot tartalmaz és a gépünkön antivírus program is 
fut, az adott objektumot nem lehet aktiválni. 

2 Amikor olyan adatokat törlünk a munkafüzetünkből, amelyek- 
re egy diagram hivatkozik, majd a diagramot szerkeszteni 
szeretnénk, az Excel automatikusan bezáródik. 


Word 2002 Update 

I Ha ESC-t nyomunk a nyelvi ellenőrzés ablakában, miközben a 
szótárnyelvek között válogatunk, előfordulhat, hogy lefagy 
a Word. 

- Ha a Word dokumentumunkat levélként küldjük, és előzőleg 

engedélyeztük a TrueType betűtípusok beágyazását, a Word 

drasztikusan megnövelheti a levél méretét. 

Ha egy olyan dokumentumot próbálunk megnyitni, amelyik 

sérült, a Word lefagyhat. 

"2 Ha egy dokumentumról több mentést is készítünk ugyanabban 
a formában, majd MHTML formátumba exportáljuk, a fájl 
mérete minden egyes mentéssel exponenciálisan növekszik. 

0 Előfordulhat, hogy a word nem válaszol, ha a gépre Norton 
Antivirus van telepítve. 

5 A word nem válaszol a dokumentum újratördelésekor. Ezt az 
okozhatja, ha a dokumentum egy hosszú bekezdést tartalmaz. 


Borsi Katalin 
boboonetacademia.net 


kkben szerepl. 





tech.net 


Té. HT. 


Dupla KV 


Windows XP értesítési területe 

K: Windows XP-ben hogyan lehet beállítani, mely ikonok jelenje- 
nek meg a tálca jobb alsó sarkában levő értesítési területen (no- 
tification area?) 


V: El tudjuk tüntetni a tálcáról a nem használt ikonokat, illetve 
szabályozni tudjuk, hogy mikor látszódjanak és mikor ne. Az ér- 
tesítési terület beállításait a tálcán (Taskbar) állva jobb klikk 
után a tulajdonságok menüt választva lehet megjeleníteni. 


Customize Notifications 


Windows displays icons for active and urgent notifications, and hides 
inactive ones. You can change this behavior for items in the list 
below. 


Select an item, then choose its notification behavior: 


Taskbar 


Name Behavior 


a98kb . Current Items 


38) Windows Messenger - Not Sign... (Hide when inactive v] 
dövMware Tools 


"Hide when inactíve 
Always hide 


Past Items Always show 


Hide when inactíve 


S) KIJE 


JI Windows Task Manager 














Restore Defaults 


Cancel 


Menj ese 


o A tálca beállításai 














A kép alján is látható ,Customize..." gombra kattintva feljön 
még egy ablak, itt állítható az értesítési területen megjelenő 
ikonok viselkedése. Három lehetőség közül lehet választani: 
vagy mindig látszódik az adott ikon, vagy egyáltalán nem, vagy 
pedig akkor látszik, ha van valami dolga (és eltűnik, ha inaktív). 


Windows 2000 jelszóváltoztatás 

K: Be lehet állítani valahogy a tartományban levő felhasználók- 
nak, hogy csak akkor tudjanak jelszót változtatni, amikor arra az 
operációs rendszer figyelmezteti őket? 


V: Igen. Csoportos házirenden keresztül az összes felhasználóra 
vonatkozóan egyszerűen be lehet állítani azt, hogy maguktól ne 
tudjanak jelszót változtatni a felhasználók. 


Az Active Directory Users and Computers snap-inben el kell na- 
vigálni ahhoz a szervezeti egységhez, amelyben a felhasználók 
vannak, de természetesen tartományi szinten is szabályozható a 
beállítás. Ha megvan a konténer, ahova rá szeretnénk húzni a 
beállítást, a következőt kell tenni: 
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1. A konténeren jobb klikk - Properties - Group Policy tulajdon- 
ságlapon - Edit gombra kattintva megnyílik a házirend. 

2. ELkell navigálni a User Configuration - Administrative Templates 
- System - Logon/Logoff részére 

3. A ,Disable Change Password" házirendet kell bekapcsolni. 


Ezzel a CTRL-ALT--DEL hatására feljövő ablakban a Change 
Password gomb inaktívvá válik, tehát a felhasználó itt nem tud 
jelszót módosítani. Egyetlen lehetősége marad: akkor változtas- 
son jelszót, amikor az operációs rendszer erre figyelmezteti. 


Internet Explorer parancsikon mindig új ablakban 

K: Megoldható-e, hogy az asztalon levő Internet Explorer parancs- 
ikon mindig új böngésző ablakban nyíljon meg? A környezet Win- 
dows XP és Internet Explorer 6-os. 


V: Igen. Az Internet Explorer Tools menüjében az Internet 
Options - Advanced ablakában meg kell keresni a ,Reuse win- 
dows for launching shortcuts" beállítást - a Browsing szekció- 
ban lesz. Az előtte levő jelölőnégyzetből ki kell venni a pipát. 


General] Security ] Privacy ] Content] Connections ] Programs. Advanced 





Settings: 





















Enable folder view for FTP sites 
(T Enable Install On Demand (internet Explorer) 
Enable install On Demand (Other) 

[1 Enable offline items to be synchronized on a schedule 

Enable page transítions 

(TU Enable Personalized Favorites Menu 

[1 Enable third-party browser extensions (reguires restart) 

Enable visual styles on bultons and controls in web pages 

[ Force olfscreen compositing even under Terminal Server (regu 
[d Nolify when downloads complete 





ü Cd ees 
Show friendly HTTP error messages 
(T Show friendly URLs 

Show Go button in Address bar 

EJ Underine inks 

0 Always 






fiúi 


Restore Defaults I 





5 Az Internet Explorer indítás beállítása 


Az Exchange OWA Logoff gombja 

K: Az Exchange SP2 óta az OWA parancsikonok közt ott van a kilé- 
péshez is egy ikon. Ha a felhasználó csak úgy becsukja az Explorer 
ablakot, vagy beír egy másik URL-t, akkor nem történik meg a kilé- 
pés. Van-e mód arra, hogy figyelmeztetést kapjon a felhasználó ar- 
ról, hogy előbb lépjen ki, majd utána csukja be az Internt Exporert? 


V: Az Exchnage SP2-ben nemcsak a Kijelentkezés ikonja az új- 
donság, hanem egy hozzá kapcsolódó registry kulcs is, amellyel 
szabályozható, hogy ha a felhasználó nem szabályosan a Log Off 
vagy Kijelentkezés parancsikonra kattintva lép ki, figyelmezte- 
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tést kap. Ebből megtudja, hogy minden böngésző 

ablakot be kell csuknia az OWA használata után, 

mert csak így lehet biztos benne, hogy más nem fér 
hozzá az ő postaládájához. 


Az extra figyelmeztetés megjelenítéséhez az Exchange kiszolgá- 
lón következő registry bejegyzést kell felvenni: 


HKEY. LOCAL MACHINENSYSTEMNCurrentControlSett 
Services WISExchnagellEB VOLA 
Value:EnableLogofflWarning 

Type: REG DUWORD 

Data: 1 


Ez a beállítás nem akadályozza meg a felhasználó kilépését, az 
ablak lecsukását, csupán figyelmezteti a felhasználót. Csak OK 
gomb van a figyelmeztető ablakon. 


Házon kívül" üzenetek házon kívülre 

K: Hol kell engedélyeznem, hogy az , Out of Office" automatikus 
válasz a kívülről jövő levelekre is válaszoljon? A környezet 
Exchange 2000 Service Pack 2-vel. 


V: Alapértelmezésben az , out of office" üzenetek küldése nincs en- 
gedélyezve az Internet felé. A beállítása elég eldugott helyen van: 
System Manager - Global Settings - Internet Message Format - 
Default policy - tulajdonságok - Advanced: 


B tí? Gobal settngs [ÉG Defauk 575/2002 7:03 PM, 


a mene kozoge roma [EZT ÉSZT T ajaat 


£B Message Delvery 
-(g Reciplents 

B CI Administrative Groups 
B EB Tok 


General [/Meszags Format  Advancsd ] Datsis [ Ssaziy ] 
fr Exchange tichtext format 
CC Alyjaya use, 
1 € Never use 
]. 7 Detammind by indvidsal usót settngs 


r Message text word wrap: 
16 Ngyvetúsei 

1 € Uzo at column 

l 


F— 





JT Allow öutorpatic forward 
57 Allow defvety report: 
7. Allam norrdekyery reportz 
(ui F7 Etesetve zendars zola néma on mestage 


5 , Out of Office" üzenetek beállítása 


Ha sikerült eljutni a megfelelő ablakig, már csak egy pipára van 
szükség az , Allow out of office responses" jelölőnégyzetében. 


Default Profile testreszabása 

K: Megpróbáltam egy default Profile-t csinálni egy gépen ahol 
több felhasználó is belép, úgy, hogy az Administrator felhaszná- 
lóval beállítottam amiket akartam, majd az Administrator Profile 
könyvtárát bemásoltam a c: Document and Setting WDefault User 
könyvtár alá. Majdnem jó amit kaptam, de mégsem egészen. Mit 
rontottam el? Hogy kell ezt jól megcsinálni? 
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V: Valóban majdnem jó a megoldás. A következő módon kell lét- 

rehozni ,rendesen" az alapértelmezett profilt: 

1. Be kell lépni a gépre Administratorként 

2. Létre kell hozni egy felhasználót, legyen ez a Users csoport 
tagja 

3. Be kell lépni a létrehozott felhasználó nevében 

4. Be kell állítani mindent úgy, ahogy szükséges - nyomtatókat, 
az explorer beállításait, a hátteret, stb., vagyis mindent, 
ami kell. 

5. Újra be kell lépni Administratorként 

6. Mivel alapértelmezésben a rejtett fájlok nem láthatók, a pro- 
fil másolásához be kell kapcsolni (az Explorer — Tools — Folder 
Options beállítások közt), hogy ezek is láthatóak legyenek. 
Ehhez a Folder Options -View - Advanced Settings alatt a 
Show hidden files and folders" beállítást kell bekapcsolni. 

7. Most már lehet a profilt másolni, de nem egyszerűen fájlmá- 
solással, hanem a Control Panel - System - User Profiles tu- 
lajdonságlapról! Itt a 4. pontban létrehozott felhasználó 
profilon állva a Copy To gombra kell kattintani. Ahogy a ké- 
pen is látszik a Copy Profile To alatt kell megadni a könyv- 
tárat, ahova a kiválaszott profilt másolni szeretnénk. 
Ebben az esetben a célkönyvtár a C:(Wocuments and 
Settings Default User könyvtár. 

8. A ,Permitted to use" alatt pedig az Everyone-t kell megadni. 










SZG 





User Profiles 


[7 Copy erofile to. 


C:IDocuments and SettingsiDefault User 
Browse ] 


fr Permitted to use 






















Change Type I Delete Copy Io 


To create new user accounts, open User Accounts in Control Panel, 


OK Cancel 
OK Cancel Apply I 


a , Default Profile" előállítása 






Az így létrehozott alapértelmezett profilt fogja megkapni min- 
den új belépő az adott gépen. 
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kattintgatóhuszár , megfelelően" belerondít a DHCP beállítások- 
ba, cégszintű problémát tud okozni. Ismerek olyan céget, ahol 
egy kis DHCP tuningolás miatt negyven vidéki iroda két napig 
nem tudott dolgozni (egy kis DNS-buhera, lease time megnövelé- 
se, click OK). És a DHCP még csak nem is összetett rendszer, s 
az sem igaz, hogy ne tudnánk pontosan, melyik módosításnak 
mi a következménye. 

Most vizsgáljunk meg egy központosított és feltöltött Active 
Directoryt. Nyolcszázhuszonhárom felhasználó van benne, ízlé- 
sesen szervezeti egységekbe rendezve. Normális esetben majd- 
nem mind a nyolcszázhuszonhárom fiók jogosultsága közel nul- 
lával egyenlő, hisz hagyományos felhasználókról van szó. Bár- 
milyen pedáns rendszerre igaz az entrópia növekedésének elve: 
a sarokba szorított felhasználók idővel egyenletesen kitöltik a 
jogosultságteret. Előbb Piri kerül be a Backup Operators cso- 
portba, hogy rá lehessen bízni a mentést, majd Rozi néni a 
Domain Adminsba, hogy nagy felbontással tudjon scannelni. 
Ez utóbbi egyáltalán nem vicc! Van egy bizonyos scanner, mely 
alapfelhasználóknak maximum 92 DPI-s lapolvasást enged, rend- 
szergazdáknak meg 300 DPI-t. (Aki nem hiszi, írjon nekem, 
megadom a gyártó nevét és a pontos típust!). Egy gond van ezzel 
a működéssel: a jelenségről a gyártó nem tud, ők ilyet nem ter- 
veztek bele (eredetileg nem is volt hozzá NT-s meghajtó) . Így a tu- 
domány mai állása szerint egyetlen módon tudjuk gyalogok szá- 
mára biztosítani a normális működést: ,ideiglenesen" betesszük 
őket a Domain Admins csoportba. Ettől persze olyan műveletek is 
megjelennek számukra a könyvelőrendszerben, ami addig soha, és 
olyan lekérdezéseket futtathatnak a cégadatbázison, amit a ve- 
zérigazgató is megirigyelne. És előttünk áll Rozi néni, a hacker, 
aki semmit sem tett azért, hogy létfontosságú, titkos adatokhoz 
jusson. IPSec? EFS? Rozi néni ezeket mind öntudatlanul cselezte 
ki! Rozi néni egy kétlábon járó side effect (mellékhatás). 

Idővel egy csomó felhasználó rendelkezni fog egy halom olyan 
jogosultsággal, amiről már senki nem tudja, hogy miért adták 
ki, de senki nem meri visszavonni sem. A gyakorlat azt mutat- 
ja, hogy a , tesztelési céllal" kiadott jogok örökre úgy maradnak, 
a felhasználók pedig egyre erősebb csoportokba diffundálnak. 
Mit lehet itt tenni? Utólag szinte lehetetlen visszaverni a júzer- 
szabadcsapatokat. Valahogy meg kellene tudni akadályozni, 
hogy a folyamat beinduljon. 


Glokalizáció 

Az egyik megoldási módszer a véletlen mellékhatások esélyének 
csökkentése, vagyis - mondjuk ki - az általános központosítás 
,Megfúrása", olyan szigetek kialakítása, ahova más rendszerek 
szuperjúzerei sem jutnak be automatikusan. A glokalizáció fo- 
galma általánosan azt jelenti, hogy globalizáció ide vagy oda, a 
részrendszerek autonómiáját érdemes lehet meghagyni, mert 
többet érnek, ha bizonyos függetlenséggel rendelkeznek. A fen- 
ti fürt-sziget csak veszítene azzal, ha beleolvadna a közös rend- 
szerbe. Ezzel nem azt mondom, hogy ne központosítsunk! Egy- 
ségesítsük, amit érdemes, de csak azt! 


Feudalizmus 

Mit egységesítsünk? A nyilvántartásokat igen (címtár, adatbázi- 
sok), a jogosultságkezelés központosítását azonban már fontol- 
juk meg. Vegyünk egy történelmi példát, Magyarországot. Egy- 
ségesítsük az állampolgárok nyilvántartását (központi címtár) és 
azonosítását (autentikáció), de hagyjuk a falvak önkormányza- 
taira annak eldöntését, hogy ki kap szocpolt, és ki nem. 
Utoljára a feudalizmusban léteztek olyan globális csoportok (bá- 
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ró, gróf stb.), amibe ha bekerült valaki, minden ajtó megnyílt 
előtte. A globális csoportok hatékonyak a nyilvántartás szem- 
pontjából, de ügyetlen használatuk feudalizmushoz vezet. A ne- 
mesi címet adományozzák, de vissza nem veszik. Az egyenlősdi 
ismételt eléréséhez forradalom kell! 

Itt az ideje, hogy visszakanyarodjunk a tech.edhez. Don Box előadá- 
sa nagyon röviden arról szólt, hogy sajnos napjainkban ismét fel kell 
találni a spanyol viaszt, ismét olyan alapszolgáltatásokat kell kifej- 
leszteni, amelyekről már mindenki azt hitte, többé nem kell velük 
vacakolni. Két ilyet említett: a protokollokat és a tranzakciókat. 


Protokollok 
A harminc éve velünk élő TCP/IP-t arra találták ki, hogy ügyesen 
elrejtse előlünk a hálózat bizonytalanságait, és nekünk, felhasz- 
nálóknak hibátlanul működő csatornát nyújtson, amibe csak be- 
le kell kiabálni, s a cső végén hibátlanul bukkan fel eredeti üze- 
netünk. Egy hagyományos ügyfél-kiszolgáló alkalmazás számára 
ez maga a kánaán: reggel nyolckor megnyit egy TCP csatornát az 
SOL Server felé, és többé nem kell aggódnia az adatátvitel miatt. 
Csakhogy egy webalkalmazás nem így működik. TCP csatornák 
jönnek-mennek, bomlanak-épülnek, így szegény alkalmazásnak 
saját kezébe kell venni a protokollkezelést: el kell hárítania a 
csomagok elveszítéséből és kaotikus sorrendjéből eredő problé- 
mákat. Még bonyolultabb protokollépítésre lehet szükség web- 
farmok esetén, ahol még csak esély sincs arra, hogy a feladatot 
a TCP/IP elvégzi helyettünk. Bizony, ott tartunk, hogy az alkal- 
mazásnak kell figyelnie a helyes adatmozgásra: 
1. Vajon bejelentkezett már a felhasználó? 
2. Vajon megkapta már az alapadatokat? Vagy a semmiből válogat? 
Még olyan helyzetekre is fel kell készülnie, ami egy hagyomá- 
nyos alkalmazásnál nem fordulhat elő: 
1. A beérkezett rendelés valós adatokat tartalmaz, vagy a fel- 
használó belehekkelt az URL-be? 
2. Ha nyomogatja a Frissítés gombot, ez hány rendelésnek számít? 
3. Hányadszor küldi el a gonosz ugyanazt a rendelést különböző 
random paraméterekkel? 
Vállalati hálózatunkra visszatérve: ha nem szeretnénk áldozatul 
esni az előre nem várt helyzeteknek, vegyük őket számba, alkos- 
sunk protokollt az esetek lekezelésére! Minél összetettebb a 
rendszer, annál fontosabb, hogy kész receptünk legyen, mi a 
teendő ,nem várt" esetekben. 
A Microsoftnak van egy átfogó, nyolcszáz oldalas ,protokollja" 
vállalati hálózatok üzemeltetésére. Úgy hívják: Microsoft 
Operations Framework (MOF). Részt vettünk a magyarításában, 
ezért tudom: ennél szárazabb olvasmányt elképzelni is nehéz. 
De nem is ponyvaregényként kell használni, hanem Bibliaként. 
Fel kell ütni a megfelelő versnél, és annak megfelelően csele- 
kedni. Rengeteg tervem közt szerepel, hogy egyszer, ha majd 
nagyon ráérek, írok egy cikket a MOF-ról... 


Felhasználói tranzakciók 

Tíz éve mondogatják nekünk, hogy az adatbáziskezelés elérte 
végcélját, mivel a tranzakciókezelés miatt nem fordulhat elő 
olyan módosítás, mely önellentmondásba viszi az adatokat. Tíz 
éve mondom, hogy ez igaz, de ha kidugjuk a fejünket a homok- 
ból, kiderül, hogy az adatbázisnak nemcsak önmagával, hanem 
az általa leképezett világgal is ellenmondásmentesnek kell len- 
nie. Sokra megyünk egy olyan adatbázissal, mely a furfangos vi- 
lág miatt más dimenzióban él, mint mi! 

(Kiváló példa: egy könyvtári adatbázis automatikusan figyelmeztető 
státuszba teszi azokat a tagokat, akik nem vitték vissza idejében a 
kikölcsönzött könyveket. Egyesek szabályosan tesznek eleget a felszó- 
lításnak, visszaviszik a könyvet, kifizetik a büntetést, és lekerül róluk 
az , átok". Mások suttyomban visszacsempészik a könyvet a polcra, s 
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ezzel elintézettnek veszik az ügyet. Az adatbázisban a tag státusza 
érintetlen marad. Melyik valóság a valóságosabb? Az adatbázisé, 
vagy a könyvespolcé, melyen ott áll a kintlévőnek hitt könyv?) 

Ha körülnézünk a világban, észrevehetjük, hogy tranzakciók vesz- 
nek körül minket. Lefoglalunk egy asztalt az étteremben (BEGIN 
TRAN), majd elmegyünk vacsorázni (COMMIT). Félretetetünk egy 
mozijegyet (BEGIN TRAN) , de mégsem megyünk érte (ROLLBACK). 
Elhatározzuk, hogy vegetáriánusok leszünk (BEGIN TRAN), három 
hónapig bírjuk, majd lecsúszik az első karika kolbász (ROLLBACK). 
Ha jobban megfigyeljük, ezek nem is igazi tranzakciók. 

0 Nem kell elválasztanunk (izolálnunk) a többi ember folyama- 
tától, nem baj, ha mások is tudják. Három hónapig valódi 
vegetáriánusok vagyunk. 

Nem baj, ha esetleg hosszúra nyúlik a folyamat. Ha vissza is 
vonjuk, nem biztos, hogy minden hatása megszűnik. (Nem 
pótolható a három elvesztegetett hónap, amíg botor módon 
nem ettünk húst!) 

Bármikor, további következmények nélkül meggondolhatjuk 
magunkat (mától mégsem vagyok vegetáriánus). 

Ez nem tranzakció, nem is UNDO, hanem kétállapotú kapcsolók 
át- és visszabillentése, miközben az élet megy tovább. Néhány 
kapcsoló magától visszabillen (a félretett mozijegy nem a mienk, 
ha nem megyünk érte) , másokat mi magunk billentünk vissza. Az 
informatikai rendszerek kezelése is billenőkapcsolók átállításá- 
ból áll. Bekerüljön-e Rozi néni a Domain Adminsba? Igen? Nem? 
Végül is betettük a Domain Adminsba. Egy hétig ezzel a jogo- 
sultsággal tett-vett, és azt szeretnénk, hogy idővel magától 
szűnjön meg a csoporttagsága. Ne kelljen gondolnunk rá! 
Képzeljünk magunk elé egy olyan rendszert, mely mindig meg- 
jegyzi, mit billentettünk át, és egy naplóból pontosan vissza tu- 
dunk keresni, esetleg meg nem történtté tenni néhány ese- 
ményt. Mikor állt elő a hiba? Tegnap délben? Mit csináltunk 
közvetlenül előtte? GPO-t faragtunk? Kell ez nekünk? Nem! 
Miért mondják, hogy utópista fantazmagória? Nem ugyanezt 
csináljuk ma is, puszta kézzel, kockás papíron jegyzetelve, ki-ki 
hagyva egy-egy módosítást a naplóból (mert most nem fontos, 
hanem sürgős)? Jobban esik szalagos mentésről visszaállni? Mi- 
lyen állapotba is? 

Gépesítsük, ami gépesíthető! Szerencsére mind a protokoll-, 
mind az állapotkezelés automatizálásában vannak eredményei a 
Microsoftnak. 


V 


Automatizált protokollok 

A különböző bonyolult folyamatok dokumentálásában érdekes 
módon nem a Microsoft járt az élen, hanem a NetIO nevű cég. 
Az ő IO-juk nem más, mint rengeteg szakember tapasztalatának 
összegyűjtése egy önjáró rendszerfelügyeleti keretrendszerbe. A 
NetIO szoftverét a Microsoft licenceli, neve: Microsoft 
Operations Manager (MOM). A MOM egyik feladata a protokoll- 
kezelés. Ha ez és ez történt, csináljuk azt. Ha háromszor előállt 
ezmegaz, legyen helyette ingyombingyom. Ha már x órája nincs 
bakfitty, küldjünk egy pitypalattyot. Ha valamelyik rendszer A- 
t mondott, mondjon B-t is. Ha elfogyott a gezemice, riasszuk a 
rendszergazdák főnökét. Csupa olyan feladat, melyet mi magunk 
is így végeznénk - ha eszünkbe jutna. Hányszor fogyott ki aló- 
lunk a szabad lemezterület, csak mert senki sem figyelt rá? A 
MOM-nak eszébe jut! Hihetetlen mennyiségű (több száz) előre 
elkészített rendszergazdai feladat áll benne készenlétben, ne- 
künk csak be kell kapcsolni. 


working with 





windows / 


Állapotvisszakapcsolás 

Akár hiszik, akár nem, az Active Directoryban bizonyos funk- 
ciókra már ma is van UNDO, igaz, válogatni nem nagyon lehet 
sem abban, mit csináljon vissza, sem abban, hogy mikor. De a 
Microsoft igyekezete figyelemre méltó. Még megérjük, hogy leg- 
vadabb képzelgéseink is testet, illetve szoftvert öltenek! 

Az auto-undo elvégzésére a csoportos házirendet (Group Policy), 
annak is biztonsági leágazását nevezték ki. Bizonyos objektu- 
mok jogosultságait, és Active Directory csoportok tagsági körét 
lehet vele beállítani, amelytől el tudunk térni, de az AD 
minduntalan visszatér. Mitha egyenesen a scanneres példára ké- 
szítették volna! Csak betesszük Rozi nénit a Domain Adminsba, 
s majd a házirend gondoskodik arról, hogy idővel kitakarodjon 
onnan. Nincs többé ottfelejtés! Lássuk, hogyan működik! 

Az Active Directory Users and Computerssel megnyitjuk a Default 
Domain Controllers házirendet. Ennek gépi szekciójában (computer 
configuration) a Windows Settings-eSecurity Settings alatt találjuk a 
Restricted Groups (kötött csoportok) beállítást. Jobbklatty, Add 
group, Domain Admins. A létrejövő objektumot megnyitva ezt látjuk: 


[ee ehe lán hajta NEE SJ Gui 





Members of this group: 





Administrator 





Add... 


EZESTER 
Remove 


Ihis group is a member of: 
Administrators 





Remove ! 


OK ! Cancel ! 


5 Kötött csoportok használatával védekezhetünk saját elfe- 
lejtett kicsapongásaink ellen 


Az ablak felső részébe vegyük be azokat a felhasználókat, aki- 
ket minden körülmények közt bent szeretnénk látni a csoport- 
ban. Az alsó részben pedig azokat a csoportokat soroljuk fel, 
melyeknek a Domain Admins mindenképpen tagja. A fenti ábra 
egy lehetséges megvalósítást mutat. 

Lassan be kell fejeznem a , bevezetőt", így házi feladatba adom 
Önöknek, hogy merengjenek el a kötött csoportok alatt találha- 
tó System Services, a File System és a Registry beállításokon. 
Ezek is automatikus visszaállításra valók! 

Ezzel zárom soraimat, üdvözlet Barcelonából! 


marcellf(-onetacademia.net 
MZ/X 
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Amennyiben a számlázási cím nem egyezik meg a szállítási címmel, kérjük az alábbi részt is töltse ki! 
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